큐싱 사기 주의보! 피해사례와 예방법, 신고방법까지

안녕하세요, 모던피라미입니다. 혹시 '큐싱'이라는 단어 들어보셨나요. 무슨 뜻인지 유추가 되시나요? 최근 국내외에서 새로운 유형의 피싱 수법인 '큐싱(Quishing)'이 확산되고 있다고 합니다.

 

큐싱은 QR코드를 이용해 개인정보와 금융 정보를 빼내는 수법인데요. 큐싱으로 인한 피해가 나날이 심각해지고 있어, 관련 기관들이 경고하는 상황까지 이르렀습니다. 영국의 산탄데르, HSBC와 같은 금융기관은 물론, 국가사이버보안센터(NCSC)와 미국 연방거래위원회(FTC)까지 큐싱에 대한 주의를 당부하고 있다고 해요. 큐싱 피해를 미연에 방지하기  위해, 이번 포스팅에서는 큐싱의 뜻부터 사기 유형, 피해 사례, 예방 수칙까지 자세히 알아보도록 하겠습니다.

 

큐싱 뜻과 사기 유형, 예방법과 대처방법까지

 

1. 큐싱이란?

큐싱은 QR코드를 결합한 신종 피싱 사기입니다. 기존 피싱이 이메일이나 문자 속 링크를 통해 악성 사이트로 유도하는 방식이라면, 큐싱은 여기에 QR코드를 활용합니다.

 

큐싱 주의보 (출처: 매일경제)

 

 

큐싱은 사용자가 이메일에 첨부된 QR코드를 스캔하면 가짜 웹사이트로 이동해 로그인을 유도합니다. 예를 들어, 자영업자에게 '소상공인 저금리 대출'이라는 제목의 메일을 보내고, 메일에는 대출 안내와 함께 금융사기 예방 앱 설치를 위해 QR코드를 촬영하라는 내용을 넣는 겁니다. 스마트폰으로 QR코드를 촬영하면, 휴대전화에는 악성 앱이 설치되고, 개인정보가 유출되어 금전적 피해를 입을 수 있는 거죠.

 

QR 코드는 카메라 촬영 한번으로, 여러 서비스를 편리하게 이용하는 데에 좋기 때문에 생활 속에서 다양하게 활용되고 있죠. QR코드가 대부분의 사람들에게 익숙하기 때문에, 특별한 의심 없이 접할 수가 있어서 그 피해가 더 커지는 게 아닐까 싶은데요. 출처가 불분명한 QR코드에 대해서는 반드시 경각심을 가져야겠습니다.

 

 

2. 큐싱 사기 유형

그렇다면, 큐싱 사기는 어떤 경로를 통해 당하게 되는 걸까요? 큐싱 사기는 여러 형태로 진화하고 있다고 하는데요. 최근 우리나라에서는 특히 청소년이 자주 사용하는 공유형 기기나 온라인 광고, 이메일 등을 통해 퍼지고 있다고 합니다. 대표적인 큐싱 사기 유형은 다음과 같다고 해요.

출처: YTN

 

• 공유 자전거·킥보드에 부착된 QR 코드
  정상적인 QR 코드에 덧붙여진 가짜 QR 코드로 사용자가 스캔하게 하여, 악성 앱 설치나 유해 사이트로 유도하는 방식입니다.
• 출처 불분명한 이메일이나 광고에 삽입된 QR 코드
  온라인 광고나 이메일 본문에 QR 코드를 삽입하여, 사용자가 호기심에 클릭하게 만들어 악성 코드가 설치되거나 소액 결제가 이루어지게 만듭니다.
• 무료 쿠폰·경품 QR 코드
  경품이나 할인 혜택을 준다는 미끼로 SNS나 웹사이트에 QR 코드를 올려 사용자가 쉽게 클릭하도록 유도합니다.

해외에서는 어떨까요. 해외에선 큐싱이 금융업계에서 가장 극성이라고 합니다. 미국, 영국 등지에서는 사이버 공격자가 QR코드에 악성 사이트를 연결해 개인정보·금융 데이터를 탈취하는 사례가 급증하고 있다고 합니다. 특히 영국 전체 온라인 사기중 5분의 1 이상 QR코드를 통해서 발생했다고 하니, 정말 심각한 상황인 것 같네요.

 

 

3. 큐싱 사기가 증가하는 이유

QR코드는 코로나19 팬데믹 기간 동안 비대면 결제, 주차요금 결제, 식당 메뉴 확인 등 일상에서 친숙한 기술로 자리 잡았습니다. 이러한 편리함과 신뢰감이 사기꾼, 해커에게는 오히려 공격 기회를 제공합니다. 전문가들은 QR코드 사기가 늘어난 이유로 사용자들이 QR코드에 대해 방심하는 경향이 있기 때문이라고 분석하고 있습니다.

 

파이낸셜타임스는 "코로나19 기간 동안 비대면 결제와 같은 비접촉 방식이 일상화하면서 QR코드 활용이 늘었다"며 "이와 맞물려 QR코드를 악용한 사기 수법이 교묘해진 것"이라고 분석했다고 합니다. QR코드가 식당 메뉴 결제나 주차 요금 정산 등 결제 수단으로 자리 잡았는데, 이런 친숙함이 오히려 사기범들에게 이상적 공격 기회로 작용했다는 것이죠.

 

큐싱 사기는 직접 스캔하기 전까지는 QR코드가 정상인지, QR코드 발행자가 누구인지 알 수가 없죠. 사기꾼들은 바로 이 점을 노리고 있습니다. 수사기관이나 금융기관을 사칭해 돈을 빼가는 보이스피싱, 문자메시지에 악성 사이트 주소를 첨부하는 스미싱과 비교해서 큐싱은 사기인지 여부를 더 파악하기 어렵다는 점에서 더 주의가 필요합니다.

 

 

4. 큐싱 방지를 위한 예방 수칙

큐싱 사기가 심각해지고 있는 만큼, 이에 대한 경각심을 높이고 예방하기 위한 수칙들을 반드시 알아두어야겠는데요. 국내외 금융기관과 보안업체는 다음과 같은 주의사항을 강조하고 있으니, 꼭 기억해 두셔야겠습니다.

• 출처가 불분명한 QR코드는 스캔하지 말 것: 공유 킥보드나 자전거에 부착된 QR코드가 가짜일 수 있으니, 반드시 공식 앱에서 제공하는 QR코드를 확인 후 사용하세요.  QR코드가 덧붙여진 형태로 있는게 아닌지 반드시 확인해주세요. 또한 모르는 사람이 보낸 QR코드나, 온라인 광고의 QR코드 역시 피하는 것이 좋습니다. 
• QR코드로 접속 후 개인정보 입력 금지: QR코드를 통해 사이트에 접속한 경우, 로그인이나 개인정보 입력 요구가 있을 때 신중하게 판단하세요.
• 스미싱 탐지 앱 설치 및 최신 업데이트 유지: 보안 앱을 설치해 최신 버전으로 유지하면 큐싱 피해를 줄이는 데 도움이 됩니다.

큐싱인지 여부는 카카오톡을 통해서도 확인할 수 있습니다. 아래 방법을 참고하세요.

• 카카오톡 → '보호나라' 친구추가 → 채팅창의 '스미싱'클릭 → 큐싱 URL 입력

큐싱 확인방법

 

5. 큐싱 사기 대처방법

만약 QR코드를 스캔한 후 접속한 사이트에서 앱을 설치했거나 개인정보를 입력했다면 아래의 방법으로 신속하게 대응해야 합니다.

 

1) 악성 앱을 설치했을 때

비행기모드 활성화	스마트폰을 비행기 모드로 전환하여 통신 기능을 차단합니다. 이를 통해 피싱범이 원격으로 스마트폰을 제어하는 것을 방지할 수 있습니다.
백신 앱 검사	최신 업데이트된 백신 앱으로 스마트폰을 검사하고 악성 앱을 찾아 즉시 삭제합니다.
앱 삭제 불가시	악성 앱이 지워지지 않는다면, 휴대폰 데이터를 백업한 후 초기화하거나 휴대폰 서비스센터에 도움을 요청하는 것도 방법입니다

 2) 개인정보를 입력했을 때

금융기관 신고	개인정보 입력 후라면, 즉시 금융회사 콜센터나 금융감독원 콜센터(1332)에 연락해 계좌 지급정지를 요청하고 피해구제를 신청합니다.
개인정보 노출자 사고예방 시스템	금융소비자 정보포털 '파인'에서 개인정보 노출자 사고예방 시스템에 개인정보를 등록하면, 추가적인 피해를 막기 위해 신규 계좌 개설과 신용카드 발급을 제한할 수 있습니다.
신속한 정보 변경	입력한 정보에 따라 대처가 필요합니다. 예를 들어 카드 정보를 입력했다면 카드 정지 후 재발급을 요청하고, 금융 인증정보를 입력했다면 인증 비밀번호를 즉시 변경합니다.

3) 문의 및 신고처

큐싱이 의심되는 QR코드를 발견했거나 악성 앱 감염 등이 의심되는 경우 사기전화지킴이(경찰청·금융감독원)에 신고하거나, 국번 없이 118 상담센터에 연락하면 24시간 무료상담을 받을 수 있습니다.

 

• 과학기술정보통신부 정보보호기획과 (044-202-6441)
• 과학기술정보통신부 과학기술문화과 (044-202-4843)
• 교육부 디지털교육전환담당관 (044-203-7059)
• 여성가족부 청소년정책과 (02-2100-6238)
• 개인정보보호위원회 자율보호정책과 (02-2100-3018)
• 경찰청 청소년보호과 (02-3150-2148)
• 한국인터넷진흥원 국민피해대응단 (02-405-5363)

 

오늘은 큐싱 사기에 대해 자세히 알아보았습니다. 개인이 큐싱을 완전히 차단하기가 어렵고, 큐싱에 대한 방어 체계가 완벽히 구축되지 않은 상황에서 기업들도 더 높은 수준의 보안 책임을 져야 한다는 지적도 나오고 있다고 해요. 현재 기술로서는 큐싱을 완벽히 막기 어렵지만, 이러한 예방 수칙을 따르고 경각심을 가진다면 피해를 줄일 수 있지 않을까요? 일상 속 QR코드 사용에 신중을 기하며, 의심스러운 상황에서는 QR코드를 스캔하지 않는 것이 안전하겠습니다.