QR코드를 활용한 새로운 피싱 수법 '큐싱(Quishing)'이 국내뿐 아니라 해외서도 극성인 것으로 알려졌다.
27일 파이낸셜타임즈(FT) 등 외신에 따르면 최근 산탄데르(Santander)와 HSBC를 비롯한 은행과 영국 국가사이버보안센터(NCSC), 미국 연방거래위원회(FTC) 등이 큐싱에 대한 경고를 내렸다.
큐싱은 QR코드를 활용한 새로운 유형의 피싱 사기다. 일반적인 피싱이 이메일이나 메시지에 포함된 악성 링크로 사용자 정보를 탈취하는 방식이라면, 큐싱은 여기에 QR코드를 결합한 형태로 이뤄진다.
예를 들어 사용자가 메일에 첨부된 QR코드를 휴대전화로 스캔하면, 가짜 피싱 웹사이트로 자동 접속되는 식이다. 여기서 사용자가 본인인증이나 로그인까지 하면 개인 정보가 고스란히 해커에 전달된다.
과학기술정보통신부가 최근 발표한 자료에 따르면 현재 국내서 나온 큐싱 유형은 ▲공유형 킥보드에 부착된 일반 QR코드 위에 큐싱 스티커 덧붙이기 ▲온라인 광고에 삽입된 QR코드 악용 ▲메일 본문에 큐싱 삽입 등이다.
해외에선 큐싱이 금융업계에서 가장 극성인 것으로 전해졌다. FT는 미국과 영국 사이버 공격자가 QR코드에 악성 사이트를 연결해 개인정보·금융 데이터를 탈취하는 사례가 급증했다고 보도했다.
보안 소프트웨어 기업 맥아피(McAfee)의 지난 5월 설문 조사에 따르면, 영국 전체 온라인 사기 중 5분의 1 이상이 QR코드에서 발생했다. 올해 8월 기준 영국 내 QR코드 피해 사례 보고는 전년 동기 대비 두 배 이상 증가한 액션 프러드(Action Fraud) 보고서 결과도 발표된 바 있다.
FT는 "코로나19 기간 동안 비대면 결제와 같은 비접촉 방식이 일상화하면서 QR코드 활용이 늘었다"며 "이와 맞물려 QR코드를 악용한 사기 수법이 교묘해진 것"이라고 분석했다. QR코드가 식당 메뉴 결제나 주차 요금 정산 등 결제 수단으로 자리 잡았는데, 이런 친숙함이 오히려 사기범들에게 이상적 공격 기회로 작용했다는 것이다.
관련기사
- 사티아 나델라, MS 차기 핵심 기업비전 제시..."보안·AI 신뢰성·비용"2024.10.25
- 구글, 사람 대신 인터넷서 제품 구매·예약하는 AI 개발 중2024.10.27
- AI, 팟캐스트도 만든다…메타, 오픈소스 '노트북라마' 선보여2024.10.28
- 맨디언트 "미확인 해킹 그룹이 전 세계 50개 기업 노렸다"2024.10.27
국내외 금융기관과 보안 업체가 큐싱 경각심을 강조하고 있지만 이를 쉽게 해결하긴 어렵다는 분위기다. 큐싱을 미리 방지하거나 완벽히 인식할 수 있는 기술적 방어체계가 마련되지 못한 상태라서다.
구글클라우드 알리차 케이크 금융서비스디렉터는 "기업은 보안 리스크에 대해 더 높은 책임을 져야 한다"며 "큐싱을 막는 것이 IT 부서에만 국한돼선 안 된다"고 말했다. 이어 "기업 전반에 걸쳐 큐싱 대응책을 마련해야 한다"고 덧붙였다.