정부가 최근 공유형 자전거나 킥보드 대여를 위해 QR코드를 자주 사용하는 청소년들을 노린 큐싱 범죄가 늘어나고 있다며 주의를 당부했다. 23일 과학기술정보통신부와 교육부, 여성가족부, 개인정보보호위원회, 경찰청은 초·중·고 학생들을 대상으로 한 큐싱 사기 피해가 우려되는 상황이라며 피해 예방 활동을 강화하겠다고 밝혔다.
큐싱(Qshing)은 ‘QR코드(QR code)’에 개인 정보(Private date)를 낚는다(Fishing)는 조어인 ‘피싱(Phishing)’을 결합한 용어다. 즉 QR코드를 통해 모바일 기기 사용자가 악성 애플리케이션을 설치하도록 한 뒤 개인정보를 빼내거나 소액 결제를 유도하는 등의 금융사기 수법을 뜻한다.

QR코드는 인터넷 주소를 입력하거나 별도로 앱을 설치할 필요 없이 각종 온라인 서비스를 이용할 수 있다. 이 편리한 기능 덕분에 청소년 사이에서는 QR코드가 공유형 킥보드·자전거 등 대여를 위한 수단이며, 모바일 쿠폰이나 점포 정보, 책 정보 등 다양한 형태로 활용되고 있어 하나의 거래 수단이자 정보 매체로 널리 쓰이고 있다.
보이스피싱, 스미싱 등 기존의 피싱 수법들이 스마트폰 등 모바일 기기 사용자들에게 널리 알려지면서 QR코드를 통해 악성코드를 유포하거나 개인정보를 탈취하는 방식이 등장했다. 큐싱으로 악성 앱이 설치되면 스마트폰 등 기기에 담긴 개인정보가 탈취될 수 있다. 또 스마트폰을 원격 조종해 보이스피싱, 몸캠 피싱, 개인정보 불법 판매 등의 피해를 볼 수 있다.
경찰청에 따르면 피싱 범죄 발생 건수는 증가세다. 큐싱을 포함한 피싱 범죄는 2020년 1519건, 2021년 2731건, 2022년 3028건이 발생했다. 해외 국가에서도 사기 피해 사례가 종종 보고된다. 미국, 중국, 스페인에서는 QR코드를 포함한 가짜 주차위반 딱지나 공공자전거에 부착된 가짜 QR코드 등을 통해 개인정보를 탈취하는 피해가 발생하기도 했다.

QR코드의 진위는 시각적으로 판별이 어렵다. 글로벌 IT 보안 전문기업 이반티(Ivanti)가 2021년 미국, 영국, 프랑스, ??독일, 중국, 일본 등 6개 국가의 소비자 4157명을 대상으로 한 설문 조사에 따르면, 응답자의 39%만이 악성 QR코드를 식별할 수 있다고 했다. 또 응답자의 49%는 모바일 기기에 보안 기능이 설치돼 있지 않거나, 설치됐는지 모른다고 했다. 따라서 정보기술(IT)에 익숙한 청소년들도 쉽게 속을 수 있어 주의해야 한다.
한국인터넷진흥원(KISA) 등이 발표한 ‘큐싱 사기 예방 수칙’에 따르면, 먼저 출처가 불분명한 QR코드는 스캔하지 말아야 한다. 또 QR이 덧붙여진 스티커가 아닌지 확인하고, QR 스캔 시 연결되는 링크 주소(URL)가 올바른지 재차 확인해야 한다. QR코드 접속 후 개인정보 입력을 요구하거나 수상한 앱은 설치하지 말아야 한다. 아울러 모바일 전용 보안 앱·스미싱 탐지 앱을 설치하고 최신 버전을 유지해야 한다.
큐싱 피해가 의심될 경우, 즉시 스마트폰을 비행기 모드로 변경해 통신을 차단하고 모바일 백신으로 악성 앱을 삭제해야 한다. 금융정보 유출이 의심되는 경우, 거래하는 금융회사 영업점을 방문하거나 콜센터에 전화해 본인 계좌에 일괄 지급정지를 요청, 피해를 최소화해야 한다. 아울러 큐싱이 의심되는 QR코드를 발견했거나 악성 앱 감염 등이 의심된다면, ‘사기전화지킴이(경찰청·금융감독원)’에 신고하거나 국번 없이 118 상담센터(KISA)에 연락하면 24시간 무료 상담을 받을 수 있다.




최호경 기자 hocance@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>