스마트폰 카메라만 갖다 대면 모든 것이 연결되는 세상이 되었습니다. 식당에서 메뉴를 주문할 때도, 공유 킥보드를 빌릴 때도, 심지어 주차 요금을 낼 때도 사각형의 격자무늬인 'QR 코드'는 필수적인 도구가 되었습니다. 하지만 이 편리함 뒤에는 무서운 함정이 도사리고 있습니다. 무심코 찍은 QR 코드 하나가 스마트폰을 해킹하고 소중한 금융 자산을 순식간에 빼앗아 갈 수 있다는 사실, 알고 계셨나요? 최근 급증하고 있는 신종 사기 수법인 '큐싱(Quishing)'에 대해 깊이 있게 알아보고, 소중한 정보를 지키는 방법을 상세히 정리했습니다.
1. 큐싱(Quishing), 도대체 무엇인가요?
'큐싱'이라는 단어가 생소하게 느껴질 수 있습니다. 큐싱은 QR 코드(QR Code)와 피싱(Phishing)의 합성어입니다. 문자 메시지를 이용한 스미싱(Smishing), 목소리를 이용한 보이스피싱(Vishing)에 이어 등장한 새로운 형태의 사이버 사기 수법입니다.
기존의 피싱이 수상한 인터넷 주소(URL)를 클릭하게 유도했다면, 큐싱은 QR 코드를 스캔하도록 유도한다는 점이 다릅니다. 사람은 눈으로 인터넷 주소를 보면 어느 정도 가짜 사이트인지 의심할 수 있습니다. 하지만 흑백의 점들로 이루어진 QR 코드는 눈으로 봐서는 그 안에 어떤 정보가 담겨 있는지 전혀 알 수 없습니다. 해커들은 바로 이 '보이지 않는 점'을 악용합니다. 정상적인 QR 코드인 척 위장하여 사용자가 안심하고 스캔하도록 만든 뒤, 악성 앱을 설치하게 하거나 가짜 사이트로 연결해 개인정보와 금융 정보를 탈취합니다.
2. 우리의 일상을 파고든 충격적인 피해 사례들
큐싱이 더욱 위험한 이유는 온라인 공간을 넘어 우리가 생활하는 오프라인 공간까지 침투했기 때문입니다. 실제로 발생하고 있는 교묘한 수법들을 살펴보면 경각심을 가질 수밖에 없습니다.
2-1) 공유 킥보드와 자전거 덧칠하기
길거리에서 흔히 볼 수 있는 공유 전동 킥보드나 공공 자전거는 큐싱의 주요 타깃입니다. 범죄자들은 정상적인 대여용 QR 코드 위에 자신들이 만든 가짜 QR 코드 스티커를 교묘하게 덧붙여 놓습니다. 사용자는 아무 의심 없이 대여를 위해 코드를 스캔하지만, 연결되는 것은 대여 앱이 아닌 결제 정보를 탈취하는 가짜 사이트이거나 소액 결제를 유도하는 악성 페이지입니다. 실제로 공유 킥보드 이용이 많은 젊은 층을 노린 이러한 덧칠 수법이 빈번하게 보고되고 있습니다.
2-2) 가짜 주차 위반 딱지의 공포
차량 운전자라면 누구나 가슴 철렁할 만한 수법도 등장했습니다. 차량 앞 유리창에 '주차 위반 과태료 고지서'와 똑같이 생긴 가짜 딱지를 붙여놓는 방식입니다. 노란색 용지에 붉은 글씨로 "과태료 부과", "사전 통지서" 등의 문구를 적어 운전자의 불안감을 자극합니다. 그리고 "간편하게 납부하세요"라며 QR 코드를 함께 인쇄해 둡니다. 당황한 운전자가 코드를 스캔하면 경찰청이나 지자체 납부 사이트를 사칭한 피싱 사이트로 연결되어 신용카드 정보 입력을 요구합니다. 파주시 등 수도권 일대에서 이러한 사례가 발견되어 지자체에서 주의보를 내리기도 했습니다.
2-3) 금융기관 및 공공기관 사칭
이메일이나 문자로 QR 코드를 보내는 경우도 늘고 있습니다. "금융 인증서가 만료되었습니다", "보안 등급을 상향해야 합니다"라는 메시지와 함께 QR 코드를 보내 인증을 유도합니다. 최근에는 북한의 해킹 그룹이 외교·안보 전문가나 공무원을 대상으로 QR 코드가 포함된 이메일을 보내 해킹을 시도했다는 국정원과 FBI의 경고도 있었습니다. 이는 단순한 사기를 넘어 국가 안보까지 위협하는 수준으로 진화했음을 보여줍니다.
3. 왜 큐싱에 속수무책으로 당할까요?
많은 보안 시스템이 텍스트 기반의 공격을 막는 데 집중되어 있습니다. 이메일에 악성 링크가 포함되어 있으면 스팸 필터가 이를 걸러냅니다. 하지만 큐싱은 '이미지' 형태이기 때문에 기존의 보안 시스템이 이를 단순한 그림 파일로 인식하고 통과시키는 경우가 많습니다.
또한, QR 코드는 주로 모바일 기기에서 스캔된다는 점이 취약점입니다. PC 환경은 백신이나 방화벽 등 보안 체계가 잘 갖춰져 있지만, 개인의 스마트폰은 상대적으로 보안에 취약합니다. 게다가 모바일 화면은 크기가 작아 접속한 사이트의 전체 주소(URL)를 확인하기 어렵고, 사용자들이 이동 중이나 급한 상황에서 스캔하는 경우가 많아 이성적인 판단을 하기 어렵습니다. 범죄자들은 이러한 기술적, 심리적 틈새를 정밀하게 파고듭니다.
4. 반드시 기억해야 할 큐싱 예방 수칙
편리한 QR 코드를 안 쓸 수는 없지만, 안전하게 쓰는 방법은 분명히 있습니다. 다음의 수칙들만 습관화해도 피해를 대부분 막을 수 있습니다.
4-1) 스캔 전, 손끝으로 확인하세요 (Touch Check)
공유 킥보드나 공공 자전거, 식당의 테이블 오더 등을 이용할 때 QR 코드를 스캔하기 전 반드시 손가락으로 만져보는 습관을 들여야 합니다. 기존 인쇄된 코드 위에 스티커가 덧붙여져 있지는 않은지, 종이의 재질이 다르거나 모서리가 일어나지는 않았는지 확인해야 합니다. 조금이라도 덧붙인 흔적이 느껴진다면 절대 스캔해서는 안 됩니다.
4-2) 연결된 주소(URL)를 꼼꼼히 보세요
QR 코드를 스캔하면 바로 앱이나 사이트로 이동하지 않도록 설정을 확인해야 합니다. 대부분의 스마트폰 카메라는 스캔 시 연결될 인터넷 주소를 팝업으로 먼저 보여줍니다. 이때 주소가 정상적인 공식 도메인인지 확인해야 합니다.
- 예시: naver.com이 아니라 navor.com처럼 철자가 교묘하게 다르거나, 알 수 없는 난수표로 된 주소라면 100% 사기입니다.
4-3) 출처가 불분명한 QR은 무시하세요
모르는 번호로 온 문자나 출처를 알 수 없는 이메일에 포함된 QR 코드는 절대 스캔하면 안 됩니다. 특히 금융기관이나 공공기관은 절대 문자나 이메일 속 QR 코드로 보안 카드 번호나 비밀번호 입력을 요구하지 않는다는 점을 명심해야 합니다. "당첨", "무료 쿠폰", "긴급" 등의 단어에 현혹되지 않는 것이 중요합니다.
4-4) 안전한 전용 스캐너 앱을 활용하세요
네이버나 카카오톡 등 우리가 자주 쓰는 앱에는 큐싱을 방지하기 위한 보안 기능이 탑재되어 있습니다.
- 네이버 앱: 검색창의 '렌즈' 기능을 이용해 스캔하면, 해당 QR 코드가 연결하려는 주소가 안전한지 1차적으로 분석해 주거나 정보를 미리보기로 보여줍니다.
- 카카오톡: '더보기' 탭의 스캔 기능을 활용하면 카카오의 보안 시스템을 통해 악성 사이트 접속을 차단하는 도움을 받을 수 있습니다. 또한 한국인터넷진흥원(KISA)의 '보호나라' 카카오톡 채널을 친구 추가하면, 의심스러운 QR 코드나 문자를 보내 스미싱 여부를 진단받을 수 있습니다.
4-5) 큐싱 탐지 앱 및 보안 수칙 준수
스마트폰에 모바일 백신(V3, 알약 등)을 설치하고 실시간 감시 기능을 켜두는 것이 좋습니다. 또한 통신사에서 제공하는 '소액 결제 차단' 기능을 미리 신청해 두면, 혹시 모를 금전 피해를 원천적으로 막을 수 있습니다.
5. 만약 이미 QR 코드를 스캔했다면?
실수로 악성 QR 코드를 스캔했더라도 당황하지 말고 신속하게 대처하면 피해를 줄일 수 있습니다.
- 즉시 비행기 모드 전환: 스마트폰의 데이터를 차단하여 해커가 정보를 빼내가거나 원격으로 제어하는 연결 고리를 끊어야 합니다. 와이파이와 블루투스도 모두 꺼야 합니다.
- 악성 앱 삭제 및 초기화: 최근 설치된 의심스러운 파일(APK)이나 앱을 찾아 삭제합니다. 모바일 백신으로 정밀 검사를 수행하고, 불안하다면 중요한 데이터를 백업한 뒤 스마트폰을 공장 초기화하는 것이 가장 안전합니다.
- 지급 정지 및 신고: 금융 정보가 유출된 것으로 의심되면 즉시 은행과 카드사에 연락하여 계좌와 카드를 정지시켜야 합니다. 경찰청(112)이나 한국인터넷진흥원(118)에 신고하여 기술적 지원과 상담을 받는 것이 좋습니다. 금융감독원(1332)을 통해 피해 구제 절차를 문의할 수도 있습니다.
- 비밀번호 변경: PC 등 안전한 다른 기기를 사용하여 유출된 것으로 의심되는 사이트의 비밀번호를 즉시 변경해야 합니다.
6. 마치며
기술이 발전할수록 이를 악용하는 수법도 교묘해집니다. QR 코드는 우리 생활을 편리하게 해주는 고마운 기술이지만, 그 편리함 속에 독이 든 사과가 숨겨져 있을 수 있다는 점을 항상 기억해야 합니다. '의심'은 나쁜 것이 아니라, 디지털 세상을 안전하게 건너기 위한 가장 튼튼한 돌다리입니다.
길거리의 공유 킥보드를 탈 때, 식당에서 주문할 때, 낯선 안내문을 봤을 때, 스마트폰을 꺼내기 전 1초만 더 관찰하고 생각하는 습관이 소중한 자산을 지킵니다. 이 글이 큐싱이라는 새로운 위협으로부터 안전한 디지털 라이프를 즐기는 데 도움이 되기를 바랍니다. 주변의 소중한 사람들에게도 이 정보를 공유하여 피해를 함께 예방할 수 있기를 희망합니다.
7. 참고 자료
- https://n.news.naver.com/mnews/article/021/0002762858
- https://www.boho.or.kr/
- https://ecrm.police.go.kr/
- https://www.fss.or.kr/fss/main/sub1voice.do?menuNo=200012
- https://www.kaspersky.co.kr/resource-center/definitions/what-is-quishing
- https://blog.naver.com/kisa118
- https://www.skshieldus.com/blog-security/security-trend-idx-57
- https://www.joongang.co.kr/article/25286488
'알짜정보 > 사회' 카테고리의 다른 글
| "AI 표시 안 하면 과태료 3천만 원?" 2026 AI 기본법, 크리에이터가 처벌받지 않는 이유와 진짜 무서운 '이것' (완벽 정리) (1) | 2026.01.22 |
|---|---|
| '제2의 프로포폴'에서 '좀비 마약'이 되기까지: 에토미데이트의 두 얼굴과 2025년 마약류 지정의 전말 (0) | 2026.01.13 |
| [긴급] 우리 집 치약도 혹시? '2080 치약' 발암 우려 물질 검출로 전량 회수! (대상 제품 6종 리스트 & 환불 방법) (0) | 2026.01.08 |
| 내 돈 훔친 가족, 이제 감옥 보낼 수 있다? 2026년부터 확 바뀌는 처벌 기준(feat. 친족상도례 폐지) (1) | 2026.01.01 |
| [속보] 55년 만에 풀린 북한 '로동신문', 이제 동네 도서관에서 본다? (0) | 2025.12.31 |
댓글