온라인도 가짜, 오프라인도 가짜... 악성 QR코드 주의보!
가짜 QR코드로 악성 앱 설치해 개인정보와 금융정보 탈취
‘무료 쿠폰’, ‘가상화폐 제공’. ‘저금리 대출’ 등 내용으로 QR코드 실행 현혹앱 설치, apk 형태, 개인정보 입력 요구, 웹브라우저에서 모든 서비스 진행시 의심 필요
[보안뉴스 김경애 기자] 최근 가짜 QR코드로 악성 앱을 설치해 개인정보와 금융정보를 탈취하는 ‘큐싱(QR코드+피싱)’이 기승을 부리고 있다.
[자료=경찰청]
경찰청은 “최근 공유자전거 이용 등 일상 곳곳에서 쉽고 편리하게 이용하는 QR코드를 가짜로 만들어 개인정보 유출과 금전피해를 입히고 있다”며 피싱 사기 수법인 큐싱에 대한 주의를 당부했다.
공격자는 ‘무료 쿠폰 드려요’, ‘가상화폐 뿌립니다’. ‘저금리 대출 확인’ 등과 같은 내용으로 가짜 QR코드를 유포하고, QR코드로 악성앱 설치를 유도한다. 사용자가 QR코드를 읽으면 자동으로 URL에 연결되어 악성앱이 다운로드되며, 금융정보와 개인정보를 탈취한다. 따라서 이용자는 이러한 가짜 QR코드에 속지 않도록 각별한 주의를 기울여야 한다.
문제는 이러한 가짜 QR코드가 온라인에서만 기승을 부리는 게 아니라는 점이다. 오프라인에서도 가짜 QR코드가 곳곳에서 포착되고 있다. 공격자는 공식 QR코드 위에 가짜 QR코드를 덧붙이는 방식으로 이용자를 속이고 있다.
이에 <보안뉴스>는 보안전문가 인터뷰를 통해 해당 이슈에 대해 이용자가 피해를 입지 않도록 대응방안을 들어봤다.
[자료=경찰청]
1. 경찰청, 공공장소의 QR코드, 가짜 붙어 있는지 한 번 더 확인해야
“출처가 불분명한 QR코드는 스캔을 금지하고, 공공장소에 노출된 QR코드는 한번 더 살펴보며 신중을 기해야 합니다. 특히 출입등록, 공유자전거 등 이용시 가짜 QR코드가 붙어 있지는 않는지 꼼꼼히 살펴보는 게 중요합니다.”
2. 엠시큐어 홍동철 대표, QR코드 찍은 후 앱 설치하라고 하면 의심해야
“우선 QR코드를 찍은 후 URL로 이동시 앱 설치를 유도하는 경우 설치하지 않도록 유의해야 합니다. 혹시 사이트로 이동한 경우 개인정보 입력이나 로그인 유도 시 정보가 유출될 수 있어 입력하지 않도록 주의하는 게 중요합니다.”
3. 누리랩 최원혁 대표, 공유 자전거 이용시 공식앱 QR코드 스캔 습관 중요
“휴대폰 카메라를 통한 QR코드 스캔은 사용자에게 편리함을 제공하지만, 이 기능은 해커들이 사용자를 피싱 사이트로 유도하거나 악성코드가 포함된 앱 설치를 유도하는 등 악용될 수 있습니다. 공유 자전거와 같은 서비스 이용 시 해당 서비스의 공식 앱을 통한 QR코드 스캔 습관이 중요합니다.”
4. 스틸리언 신동휘 CTO, 웹 브라우저에서 서비스 진행되면 의심해야
“기본적으로 공격자는 사용자가 공격자들이 원하는 서비스에 방문하도록 유도합니다. 이는 공격자가 효과적인 서비스 방문 유도를 위해 새로운 전략을 기획한 것이죠. 하지만 공격자가 QR코드를 이용해 원하는 서비스로 방문을 유도해도 결국 연결되는 주소는 노출되기 때문에 개인정보와 중요정보를 입력해야 하는 상황이 발생한다면 제공되는 주소 또는 서비스에 대해 한번 더 생각해야 합니다. QR코드 촬영이 대부분 휴대폰에서 이뤄지는 만큼 QR코드 촬영시 정상 앱이 아닌 웹 브라우저에서 모든 서비스가 진행된다면 의심해야 합니다. 최근 대부분의 서비스가 앱 기반이라 이용자는 정상적인 경로를 통해 정상 앱을 설치하고 앱 내에서 서비스를 이용해야 합니다.”
5. 시큐리온 유동훈 대표, QR코드 누구나 URL 생성할 수 있어...apk 형태 조심해야
“QR코드 촬영 이후에 URL이 노출될 때 확인하는 것은 앱 특성마다 달라 사실상 쉽지 않은 상황이에요. 하지만 apk 형태로 받아지는 것은 웹에서 그간 문자로 전송해온 것과 같이 출처가 불분명한 앱이기 때문에 함부로 설치하면 안 됩니다. QR코드는 누구나 URL를 생성시키면서 정상인 것처럼 속여 배포할 수 있어요. 이는 모르는 사람이 보낸 문자와 같이 신뢰하기 어려운 경로입니다. QR코드 검사를 통해 악성앱 설치 등을 차단해야 합니다.”
6. 전남경찰청 사이버범죄수사대 윤찬민 수사관
“큐싱은 스미싱과 다르게 사용자가 사용하는 킥보드, 자전거 등과 같이 실물에 부착하기 때문에 이용자가 피싱을 인지 못하고 QR코드에 인식된 링크로 이동되어 피해가 발생합니다. 피해자의 휴대폰을 해킹해 돈을 빼는 방식이라 추적도 쉽지 않아 예방이 최우선입니다. QR코드를 통한 앱설치를 하지 않도록 주의해야 합니다.”
QR코드 바꿔치기 여부 확인
사용자가 사용하는 물건(킥보드, 자전거 등)에 붙은 QR코드에 대해 자세히 확인해 바꿔치기(위에 동일한 크기로 덮어 씌위기)에 대해 정확히 확인해야 한다.
이메일 QR코드는 무시
이메일로 QR코드를 요청하는 경우는 도메인을 가리기 위한 대부분 피싱을 위한 요청으로 무시해야 한다.
QR코드 통한 큐싱, 악성APK 설치 주의
QR코드를 통한 큐싱은 스미싱과 동일하게 단순링크로 이동 아닌 악성 APK 설치유도로 발생한다. 큐싱은 사용자가 사용하는 물건에 부착해 정상 APK를 가장한 악성 APK 설치를 유도하기 때문에 인지하지 못하고 설치하는 경우가 많이 발생한다. 악성 apk 설치를 유도하기 때문에 앱 설치는 반드스 플레이스토어에 공식 등록된 앱을 설치해야 하고 QR코드를 통한 앱 설치는 지양해 피해를 예방해야 한다. 또한 악성APK 설치가 아닌 개인정보를 입력 및 요구하는 페이지가 나온다면 큐싱을 의심해야 한다.
문제가 될 시 삭제하겠습니다.