QR코드 잘 못 찍었다가 천만원 날렸다?? 큐싱 범죄 조심!

국내 큐싱 범죄 급증…전년 대비 60% 증가
"출처 불분명한 QR은 찍지 말아야"

QR코드 활용한 큐싱 사기 주의 (사진=게티이미지뱅크)

최근 자영업자 A씨는 '소상공인 저금리 대출'과 관련된 메일을 받았다. 

메일에는 대출 안내와 함께 금융사기 예방 앱 설치를 위한 QR코드를 촬영하라는 내용이 담겨 있었다. 

A씨가 스마트폰으로 QR코드를 촬영하자 그의 휴대전화에는 악성 앱이 설치됐다. 

이는 개인정보 유출로 이어졌고 1000만원가량의 금전적 피해를 봤다.

반응형

B씨는 모 은행의 스마트 뱅킹 앱을 이용해 자금 이체를 진행하던 중, 추가 인증이 필요하다며 QR코드가 담긴 문자 메시지를 받았다. 

은행에서 보낸 메시지라고 생각한 B씨는 문자의 지시에 따라 앱을 설치하고 은행 보안 카드를 촬영했다. 

순간 금융 사기라고 의심한 B씨는 동작을 중단했지만, 순식간에 통신사 소액결제로 게임머니 35만원이 결제되어 있었다.

 

최근 위와 같은 QR코드 촬영을 통한 악성앱을 설치하게 한 후 개인정보를 유출토록 하여 금전적 피해를 입히는

일명 "큐싱"사기가 급증하고 있다고 합니다.

 

오늘은 큐싱 사기에 대해 살펴보겠습니다.

 

'큐싱(Qshing)' 사기

위의 두 사연 모두 신용보증재단중앙회와 금융감독원이 각각 발표한 실제 '큐싱(Qshing)' 사기 피해 사례입니다.

큐싱이란 QR코드와 피싱 사기(Phishing)을 합한 단어로, QR코드를 이용한 사기 수법을 의미한다.

 

위의 사례처럼 대출을 위한 금융사기 예방 앱 또는 인터넷 뱅킹을 위한 본인 인증 앱으로 위장하여

QR코드를 촬영하게 한 후, 악성 앱을 피해자의 스마트폰에 자동 설치되도록 유도 합니다.

 

공공 자전거 등 QR코드 사용이 보편화되면서 관련 범죄도 잇따르고 있다. 이해를 돕기 위한 사진. /사진=서울시 따릉이 홈페이지

 

금융기관뿐만 아니라 공공 자전거 등 QR코드 사용이 보편화되면서 관련 범죄도 잇따르고 있습니다. 
주로 피해자가 QR코드를 찍게끔 한 뒤 휴대폰에 악성 앱을 설치하거나 개인정보를 빼돌려 금전 피해를 입히는 것입니다.

큐싱 사기 진행 절차

1. 가짜 금융 사이트로 유도 -> 2. 가짜 인증 QR코드 제시 -> 3. QR코드 촬영 -> 4. 악성 앱 자동 설치

-> 5. 휴대폰 안에 있는 개인정보 탈취 -> 6. 2차 범죄 활용

 

경찰청이 공개한 큐싱 사기 진행 절차에 따르면, 먼저 금융범죄자가 피해자를 가짜 금융 사이트로 유도한 뒤 마치 인증이 필요한 것처럼 QR코드를 제시합니다. 피해자가 이 QR코드를 찍어 악성 앱을 설치하면, 개인정보를 탈취하는 것입니다.

일각에서는 큐싱사기가 새롭게 등장한 수법은 아니지만, 최근 QR코드의 이용이 보편화된 틈을 타 개인을 상대로 한 큐싱 사기 범죄가 늘었다고 진단하고 있습니다. 공유 자전거, 출입 등록, 결제 등 일상에서 QR코드를 사용하는 빈도가 늘어나 아무 의심 없이 QR코드를 사용하는 이가 많다는 지적입니다.

실제 국내의 큐싱사기 피해 사례 또한 빠르게 늘고 있습니다. 보안 기업 SK쉴더스에 따르면 지난해 국내에서 탐지된 온라인 보안 공격 중 17%가 큐싱 사기 범죄였습니다. 아울러 큐싱 사기 범죄 건수는 전년 대비 60% 증가한 것으로 추정하고 있습니다.

QR코드는 코드에 악성 링크를 삽입하더라도, 인터넷주소(URL)가 직접 노출되지 않아 스마트폰 백신의 탐지 기술로 완벽히 차단하기 어렵다고 합니다. 일단 '찍어봐야' 알기 때문에 피해를 예방하는 것이 쉽지 않다고 합니다.

 

큐싱사기 해외 사례

 

이러한 QR코드의 특성을 이용해 해외에서도 황당한 큐싱사기 수법들이 기승을 부리고 있습니다.

이탈리아에서 발견된 가짜 QR코드 주차위반 딱지. /사진=한국경제신문 기사 캡처

 

이탈리아와 중국에서는 가짜 QR코드가 인쇄된 주차 위반 딱지가 발견된 바 있습니다.

미국에서는 주차장 요금 정산기 QR코드가 있어야 할 위치에 악성 QR코드가 덧붙여진 사례가 발견돼 미국 연방거래위원회(FTC)가 최근 소비자 경고도 내놨습니다.

 

큐싱사기 예방이 중요

이에 전문가들은 QR코드에 접속하기 전 출처가 신뢰할 만한 곳인지 먼저 확인하고 접속해야 한다고 당부했습니다.

금융감독원 관계자는 "일단 출처 불명의 QR코드에 접속하지 않는 것이 가장 중요하지만, 

만일 사기 정황이 의심되면 최대한 빠르게 금융감독원, 경찰 등에 신고하는 것도 중요하다"며 "돈이 빠져나갔더라도 신속하게 피해 구제 신청을 하면 범죄의심 계좌 채권 소멸을 통한 지급 정지 처리와 개인정보 노출자 사고 예방 시스템 등록을 통한 피해 규모를 최소화가 가능하다"고 조언했습니다.

이어 "평소 휴대폰에 각종 금융 비밀번호나 OTP 카드, 신분증 등을 사진으로 갤러리에 남겨두지 않아야 개인정보 유출 시 피해를 줄일 수 있다"고 부연했습니다.

염흥렬 순천향대 정보보호대학원 교수는 "출처가 불분명한 QR코드가 안내하는 링크에 접속하지 않는 것이 중요하다"며

 "QR코드를 찍어 특정 앱을 다운로드했을 때 그 순간 휴대폰이 완전히 악성 코드에 장악되는 경우가 많다"고 설명했다. 

이어 "이런 경우 보안 프로그램으로도 잡기 힘든 경우가 있기 때문에 홍보를 통한 예방이 가장 중요하다"고 당부했다.

(한국경제신문 2.18일자 기사 참조)

 

모두 큐싱 사기 피해 당하지 않도록, 출처가 불분명하거나 신뢰할 수 없는 곳의 QR코드는

다시한번 확인하셔서 한 분도 피해입지 않으시길 바랍니다.

 

오늘도 좋은 하루 되세요~ ^^

 

 

아이폰 중고 거래 사기 - 7만원 아끼려다 143만원 날렸다

'가짜 주식거래앱', '기관 계좌 활용 공모주 투자" 사기 주의!

"216 98 7"로 시작하는 국제 발신번호 스팸 주의

영화 “시민덕희” - 보이스피싱 사기 피해 실화

대출 갈아타기 보이스피싱 대처 방법