코로나19로 익숙해진 QR코드, 막 찍으면 안 되는 이유

"URL 접속하거나 QR코드 스캔 시 피싱 당할 위험 있어"

인터넷입력 :2022/04/25 14:50    수정: 2022/04/25 15:41

신종 코로나 바이러스 감염증(코로나19) 대유행으로 음식점, 커피숍 등 상점 곳곳에서 QR코드가 널리 쓰이면서 많은 사람들이 QR코드 사용에 익숙해졌다.

QR코드는 수평으로 한 축을 따라 정보를 저장하는 바코드와 유사하지만, 세로축과 가로축 모두에 정보를 저장하기 때문에 훨씬 더 많은 정보를 저장할 수 있다.

그러나 잘못된 QR코드에 기재된 URL에 접속할 경우 계정 정보를 빼앗겨 피싱 등에 당할 위험성이 있어 주의가 필요하다. 피싱은 문자나 이메일 등 정상적인 방법으로 보낸 것처럼 가장해 비밀번호나 신용 카드 정보와 같이 중요 정보를 부정하게 얻으려는 수법을 뜻한다.

QR코드(제공=이미지투데이)

해당 사이트를 이동하지 않고도 QR코드를 읽는 순간 기기가 탈취당할 수 있어 더욱 주의해야 한다는 게 전문가의 조언이다.

더컨버세이션·기가진 등 외신에 따르면 QR코드는 도요타 그룹에 속하는 자동차 부품사인 덴소가 1994년에 개발한 기술이다. 당시 덴소의 제조 공장은 각종 부품을 바코드로 관리하고 있었지만 현장에서 불편이 제기돼 종횡으로 정보를 갖고 있는 QR코드를 개발했다. 그리고 빠른 보급을 위해 오픈 소스 형태로 제공되면서 자동차 산업뿐 아니라 전 산업 영역에서 활용되기 시작했다.

바코드는 다양한 너비에 일련의 흑백 줄로 영숫자 데이터를 압축한다. 상점에서 바코드는 제품의 ID를 지정하는 일련의 숫자를 기록한다. 바코드에 저장된 데이터는 중복되기 때문에 바코드 일부가 훼손되거나 가려져도 기기에서 제품 ID를 읽을 수 있다.

QR코드는 스마트폰에 있는 카메라를 사용해 스캔하도록 설계됐다. QR코드 스캔은 안드로이드, iOS 카메라 앱에 내장돼 있다. QR코드는 웹 링크를 저장하는 데 가장 자주 사용되지만, 텍스트나 이미지와 같은 임의의 데이터를 저장할 수도 있다. QR코드를 스캔하면 휴대폰 카메라의 QR리더가 코드를 해독하고, 결과 정보가 휴대폰 작업을 시작하도록 한다. QR코드에 URL이 있으면 해당 URL이 표시되고, 이를 탭하면 휴대폰의 기본 브라우저가 웹페이지를 여는 식이다.

QR코드(제공=더컨버세이션)

위치 표시는 QR코드 왼쪽 상단, 오른쪽 상단 및 왼쪽 하단 모서리에 배치된 사각형으로 이뤄진다. 이 마커를 사용하면 스마트폰 카메라 또는 기타 장치가 QR코드를 스캔할 때 방향을 지정할 수 있다. 바코드와 마찬가지로 QR코드는 데이터 중복성으로 설계됐다. QR코드의 30% 정도가 파손되거나 읽기 어려운 경우에도 데이터를 복구할 수 있다. 가운데 위치하는 로고는 QR코드의 일부가 아니라, QR코드 데이터의 일부를 가리게 되는데 QR코드의 중복성으로 이런 누락된 부분이 있더라도 남아있는 점을 보고 복구할 수 있다.

QR코드는 본질적으로 위험하지 않다. 단순히 데이터를 저장하는 방법 중 하나이기 때문이다. 그러나 암호화 프로토콜 전문가인 테네시 대학교의 컴퓨터 과학과 스콧 루오티 부교수에 따르면 이메일에 포함된 링크를 클릭하는 것이 위험할 수 있듯, QR코드 역시 저장된 URL을 방문하는 것이 여러 면에서 위험할 수 있다.

QR코드의 URL은 사용자를 속여 다른 웹사이트의 사용자 이름이나 비밀번호를 입력하도록 하는 피싱 웹사이트로 이동시킬 수 있다. URL을 사용하도록 해 이용자를 속임으로써 공격자가 이용자의 계정에 접속할 수 있도록 하는 등의 유해한 작업을 수행할 수 있다는 뜻이다.

관련기사

이에 QR코드에서 링크를 열 때 URL이 안전하고 신뢰할 수 있는 출처에서 온 것인지 확인하는 것이 중요하다는 게 루오티 부교수의 설명이다.

그는 “QR코드 가운데에 잘 알려진 로고가 있다고 해도 QR코드에 포함된 URL을 클릭해도 무조건 안전하다는 것을 뜻하지도 않는다. QR코드를 스캔하는 데 사용되는 앱에 악성 QR코드가 기기를 장악할 수 있는 취약점이 있을 수도 있다”며 “이 공격은 QR코드에 저장된 링크를 클릭하지 않아도 QR코드를 스캔하는 것만으로도 위험에 놓일 수 있다. 이 위협을 피하려면 장치 제조업체에서 제공하는 신뢰할 수 있는 앱을 사용해 QR코드를 스캔해야 한다”고 조언했다.