QR 코드 사기 또는 퀴싱 사기를 예방하는 방법
이번 달에만 식당, 주차 미터기, 계산대의 결제 단말기 등에서 별다른 의심 없이 수십 개의 QR 코드를 스캔했을 것입니다. 바로 이러한 무분별한 신뢰가 현재 사기꾼들이 악용하고 있는 부분이며, 그 수치는 무시하기 어려울 정도입니다.
'퀴싱(quishing)'으로 더 잘 알려진 QR 코드 피싱은 2022년부터 2023년까지 587% 증가했으며, 2025년에는 또다시 25% 급증하여 이미 2,600만 명 이상의 미국인이 이 방식으로 악성 사이트로 유도되었습니다. 그리고 가장 우려스러운 점은, 소비자의 39%만이 너무 늦기 전에 감염된 QR 코드를 확실하게 식별할 수 있다는 것입니다. 즉, 대다수의 소비자는 아무런 의심 없이 QR 코드를 스캔하고 있는 셈입니다.
그렇다면 실제로 무슨 일이 일어나고 있는 것일까요? 공격자들은 어떻게 이런 일을 해내는 것일까요? 그리고 우리는 이에 대해 무엇을 할 수 있을까요? 자세히 살펴보겠습니다.
퀴싱(QR + 피싱)은 QR 코드 안에 위험한 링크를 숨겨 사람들을 가짜 웹사이트로 유도하거나, 인증 정보를 훔치거나, 악성코드를 설치하는 행위입니다. 이를 고전적인 QR 코드 해킹으로 생각하되, 인간의 눈으로는 도저히 해독할 수 없는 형식으로 포장된 것이라고 보시면 됩니다.
이것이 바로 QR 코드 보안의 핵심적인 문제점입니다. 마우스를 올려놓으면 미리 볼 수 있는 이메일의 일반 링크와 달리, QR 코드는 브라우저가 목적지를 로드하기 전까지는 아무것도 드러내지 않습니다. 오타가 난 도메인을 포착할 수도 없고, 의심스러운 앵커 텍스트를 눈치챌 수도 없습니다. QR 코드의 위험성은 설계상 보이지 않게 되어 있으며, 바로 이 점이 퀴싱 피싱을 기존 사기 수법에 비해 훨씬 효과적으로 만드는 이유입니다.
이것이 바로 2024~2025년 전체 피싱 공격의 22%에서 QR 코드가 등장한 이유입니다. 보안 도구는 이미지 안에 인코딩된 URL을 읽을 수 없기 때문에, QR 코드는 대부분의 자동 이메일 필터를 우회합니다.
QR 코드의 위협 환경을 완전히 이해하면 피해자가 되기 전에 위협을 식별하는 데 도움이 됩니다. 다음은 2025년에 가장 흔한 공격 패턴입니다.
가장 널리 퍼진 물리적 수법은 주차 미터기, 식당 테이블, 대중교통 안내판, 소매점 진열대 등에 있는 정당한 QR 코드 바로 위에 가짜 QR 코드 스티커를 붙이는 것입니다. 사용자는 지도 링크를 열거나 결제 단말기에서 결제하는 것으로 생각하지만, 실제로는 카드 정보가 사기꾼의 가짜 포털로 바로 전송됩니다. 코드가 평평하게 붙어 있는지, 아니면 겹쳐진 것처럼 보이는지 확인하는 간단한 육안 점검만으로도 이러한 공격을 완전히 막을 수 있습니다.
사람들은 보통 휴대폰으로 QR 코드를 스캔하기 때문에, QR 코드에 포함된 URL은 방화벽이나 엔드포인트 URL 차단기와 같은 데스크톱 보안 도구를 우회합니다. 이로 인해 이메일을 통한 QR 코드 해킹은 특히 효과적입니다. 메시지는 로고와 전문적인 서식이 완벽하게 갖춰진 채로, 마치 마이크로소프트, 은행, 또는 회사 IT 부서에서 보낸 것처럼 보입니다.
이러한 퀴싱 공격의 무려 27%는 "세션이 만료되었습니다. 재인증을 위해 스캔하세요"와 같은 가짜 다단계 인증 알림을 사용합니다. 이러한 긴급함은 사용자가 주저하지 못하도록 의도적으로 설계된 것입니다.
이는 QR 코드 스캔 시 간과되기 쉬운 위험 중 하나입니다. 2024년 중반에만 PDF 첨부 파일에 QR 코드가 포함된 피싱 이메일 50만 건이 탐지되었습니다. 해당 문서는 청구서, 급여 명세서, 배송 안내문 등 정당한 문서처럼 보이며, 그 안에 포함된 QR 코드는 편리한 지름길처럼 보입니다. 또한 미국 연방거래위원회(FTC)는 가짜 배송 전표나 공과금 고지서에 QR 코드 악성코드 링크가 인쇄되어 도착하는 우편 사기가 급증하고 있다고 경고했습니다.
QR 피싱(Quishing) 사이버 보안 위협의 가장 최근이자 가장 우려되는 진화는 실제 페이지와 거의 구별할 수 없는 AI 생성 피싱 페이지를 활용하는 것입니다. 공격자는 이제 몇 분 만에 특정 대상을 겨냥해 사실적인 브랜드 이미지와 맞춤형 문구를 적용한, 설득력 있는 가짜 예약 페이지나 페이팔(PayPal) 로그인 페이지를 생성할 수 있습니다. 이로 인해 개인과 조직 모두에게 QR 코드 사기 방지가 훨씬 더 어려워졌습니다.
하지만 위협은 가짜 로그인 페이지에 그치지 않습니다. AI는 이제 표적 선정부터 전달, 탐지 회피에 이르기까지 공격 파이프라인의 모든 단계에서 활용되고 있습니다.
실질적인 의미는 명확합니다. 과거에는 사람들이 사기를 식별하는 데 도움이 되었던 시각적, 문맥적 단서들이 이제는 신뢰할 수 없게 되었습니다. 외관뿐만 아니라 출처에 대한 의심이 이제 더 중요한 필터 역할을 합니다.
QR 코드의 보안 위험은 고르게 분포되어 있지 않습니다. 일부 산업은 QR 코드 사용의 특성과 처리하는 데이터의 가치로 인해 훨씬 더 큰 위험에 노출되어 있습니다.
| 산업 분야 | 표적이 되는 이유 | 일반적인 공격 경로 |
|---|---|---|
| 금융 및 은행 | 고가치 인증 정보, 결제 데이터 | 가짜 은행 앱 로그인 페이지, 자격 증명 수집을 위한 위조된 PayPal/Venmo 포털 |
| 의료 | 민감한 환자 데이터, 레거시 시스템 | 이메일을 통해 전송된 가짜 환자 양식, 인쇄된 접수 서류상의 QR 코드 |
| 교육 | 대규모 사용자 기반, 낮은 보안 인식 | 캠퍼스 내 가짜 Wi-Fi 로그인 포털, PDF 강의 자료에 포함된 QR 코드 |
| 소매 및 전자상거래 | 결제 처리, 높은 유동 인구 | 정식 결제 단말기에 부착된 스티커 사기, 가짜 할인 또는 로열티 예약 코드 |
| 음식점 및 관광 | QR 코드 사용 빈도 높음, 공공장소 배치 | 메뉴 QR 코드를 가짜 주문 페이지로 대체, 로비 내 가짜 Wi-Fi 포털 |
| 정부 | 국민 신뢰 악용 | 가짜 허가 신청서, 공식 웹사이트를 모방한 위조 세금 납부 포털 |
| 물류 | 택배 배송 긴급성 | 문자로 전송된 가짜 배송 추적 URL, 위조된 배송 전표의 QR 코드 |
| 부동산 | 고액 거래 | 가짜 부동산 매물 페이지, 사기성 문서 서명 양식 및 자격 증명 도용 |
소매업 종사자들은 QR 코드 악성 활동을 탐지하는 데 있어 가장 높은 오탐률을 보이는 반면, 금융, 제조 및 의료 분야는 지속적으로 가장 많이 표적이 되는 업종에 속합니다. 특히 의료 분야의 QR 코드 보안 문제는 환자 데이터, 보험 정보 및 내부 시스템이 모두 위험에 처할 수 있어 그 결과가 매우 심각합니다.
개인 사용자, 사업주, 또는 QR 코드가 포함된 마케팅 자료를 담당하는 분이라면 누구나 안전을 지키기 위한 실용적인 가이드를 소개합니다.
대부분의 최신 스마트폰은 스캔 직후, 브라우저가 페이지를 로드하기 전에 목적지 링크를 보여줍니다. 이 10초의 습관이 QR 코드 안전의 기초입니다. 절대 생략하지 마십시오.
URL을 확인할 때 다음 사항을 주의하세요:
안전한 QR 코드 스캐너 앱을 사용하세요 – 휴대폰의 기본 카메라만 사용하지 마십시오. 제대로 된 QR 코드 안전 검사기는 어떤 것도 열기 전에 알려진 악성 도메인을 표시해 주어, 단순한 편의성 이상의 진정한 보호 계층을 제공합니다.
유동 인구가 많은 장소에서는 QR 코드의 변조 여부가 실제적인 우려 사항입니다. 공공장소에서 스캔하기 전에 자세히 살펴보세요: 코드가 표면에 밀착되어 있는지, 아니면 약간 튀어나와 보이는지 확인하십시오. 가장자리가 깔끔한지, 아니면 다른 물체 위에 스티커를 붙인 것처럼 보이는지 확인하십시오.
이는 주차 미터기, 대중교통 역, 그리고 QR 코드 결제 보안이 관련된 모든 장소에서 특히 중요합니다. 바로 이러한 장소들이 사기꾼들이 가장 노리는 곳인데, 이는 급한 상황과 주의 분산이 그들에게 유리하게 작용하기 때문입니다.
이 부분이 바로 QR 피싱이 가장 큰 피해를 입히는 지점입니다. 은행, 소프트웨어 제공업체, 인사부 등 정식 기업들은 이메일을 통해 신원을 확인하거나 비밀번호를 재설정하기 위해 QR 코드를 스캔하라고 요청하지 않습니다. 이러한 메시지를 받으면 주소를 직접 입력하여 해당 기업의 공식 웹사이트로 바로 접속하십시오.
아무리 공식적으로 보이더라도 예상치 못한 PDF 나 첨부 이미지 파일에 있는 QR 코드는 절대 스캔하지 마세요. 이는 WhatsApp 전달 메시지나 SMS 메시지에도 적용됩니다. QR 코드를 악용하는 해커들은 이미 이메일을 넘어 훨씬 더 광범위하게 활동하고 있습니다.
모든 스캔 앱이 동일한 수준의 보호 기능을 제공하는 것은 아닙니다. 기본 카메라 기능은 단순히 패턴을 읽어들이는 데 그치지만, 가장 안전한 QR 코드 스캐너는 대상 URL을 위협 데이터베이스와 실시간으로 대조하여 확인합니다. URL 미리 보기, 악성코드 탐지, 도메인 평판 확인과 같은 QR 코드 리더 보안 기능을 명시적으로 제공하는 앱을 찾으십시오.
QR 코드를 실행하기 전에 확인하는 것은 여러분이 기를 수 있는 가장 효과적인 습관입니다. 앱을 열기 전에 링크를 보여주지 않는다면, 링크를 보여주는 앱을 찾으세요.
소셜 미디어 페이지, Wi-Fi 네트워크, vCard 연락처, 결제 링크 등 어떤 맥락에서든 다음의 위험 신호를 주의 깊게 살펴보세요:
실수는 누구나 할 수 있습니다. 피해를 최소화하는 방법은 다음과 같습니다. 공격자의 서버와의 연결을 차단하기 위해 즉시 Wi-Fi 및 모바일 데이터를 끄십시오. 신뢰할 수 있는 모바일 보안 앱을 사용하여 검사를 실행하십시오. 스캔 후 입력한 모든 비밀번호를 변경하고, 특히 금융 및 업무용 계정의 비밀번호를 우선적으로 변경하십시오. 앱 스토어의 설치 내역을 확인하여 익숙하지 않은 항목이 있는지 확인하고, 알 수 없는 권한을 취소하며, 결제 정보가 포함된 경우 즉시 은행에 연락하십시오.
조직에서 마케팅 QR 코드캠페인, 전자상거래 절차, 부동산 매물 정보, 의료 접수 양식 또는 식당 메뉴에 QR 코드를 사용하는 경우, QR 코드를 안전하게 관리하는 것은 사용자에 대한 귀사의 책임 중 하나입니다.
기업을 위한 효과적인 QR 코드 보안 조치에는 로고와 브랜드 색상을 적용한 독창적인 코드 사용(위조하기 어렵게 만듦), 스캔 후 표시될 내용을 사용자에게 명확히 안내하는 것, 그리고 대중에게 공개된 코드에 변조 흔적이 있는지 정기적으로 점검하는 것이 포함됩니다.
그 외에도 QR 코드 생성기의 보안 수준이 중요합니다. 가장 안전한 QR 코드 생성기는 생성 시점에 대상 URL을 철저히 검증하여, 코드가 공개되기 전에 악성 링크, 스팸 및 금지된 콘텐츠를 차단합니다. Me-QR은 바로 이러한 기능을 제공합니다. 이 서비스를 통해 생성된 모든 동적 QR 코드는 악성코드, 피싱 콘텐츠 및 정책 위반 여부를 자동으로 검사하므로, 귀하와 고객 모두 귀하가 제작한 자료를 통해 QR 코드 보안 위험에 노출되지 않습니다.
QR 코드 사용의 위험은 기술 자체에 내재된 것이 아닙니다. 위험은 코드가 연결되는 곳과 사용자가 이를 확인하느냐에 달려 있습니다. 안전을 지키는 것은 QR 코드를 피하는 것이 아니라, 스캔하기 전에 무엇을 확인해야 하는지 아는 것입니다.
URL을 확인하세요. 실제 코드를 꼼꼼히 살펴보세요. 대신 검증을 해주는 QR 보안 스캐너를 사용하세요. 이러한 QR 코드 해킹을 일삼는 사기꾼들은 사용자의 무심함을 노리고 있습니다. 통계적으로 볼 때, 그들의 계산은 맞습니다. 여전히 61%의 사람들이 코드가 어디로 연결되는지 확인하지 않고 스캔합니다. 바로 그 수치가 실제 취약점입니다. 이 취약점을 막는 것만으로도 이미 대다수보다 더 많은 조치를 취한 셈입니다.
이 기사가 도움이 되었나요?
별표를 클릭하여 평가하세요!
투표해 주셔서 감사합니다!
평균 평가: 5/5 투표 수: 2
이 게시글을 가장 먼저 평가하세요!
무료 QR 코드 생성기로 코드를 만드십시오. 이해하기 쉬운 인터페이스, 다양한 QR 코드 유형 선택, 통계 보기 기능!
앱 다운로드
이제 쉽고 간편하게 QR 코드를 만들고 스캔할 수 있습니다!
무료 QR 코드 생성기로 코드를 만드십시오. 이해하기 쉬운 인터페이스, 다양한 QR 코드 유형 선택, 통계 보기 기능!
앱 다운로드
이제 쉽고 간편하게 QR 코드를 만들고 스캔할 수 있습니다!
Copyright © 2018- Me-Team
