1. 무심코 찍은 QR코드의 역습, 큐싱(Qshing)의 개요
정의: QR코드(Quick Response Code)와 피싱(Phishing)의 합성어로, 악성 소프트웨어 전달이나 가짜 웹사이트 유도를 위해 변조된 QR코드를 활용하는 공격 기법.
등장 배경: 코로나19 이후 비대면 서비스(전자출입명부, 키오스크, 공유 킥보드 등) 확산에 따른 QR코드 이용 빈도 급증 및 사용자 경계심 부족.
2. 큐싱(Qshing)의 공격 메커니즘 및 주요 유형
가. 공격 프로세스
공격자는 기존의 정상적인 QR코드 위에 악성 QR코드 스티커를 덧붙이거나 가짜 안내문을 배포하여 사용자를 유도합니다.
QR코드 배포: 공공장소, 식당 식탁, 가짜 고지서 등에 변조된 QR코드 부착.
사용자 스캔: 사용자가 스마트폰 카메라로 QR코드를 스캔.
악성 사이트 유도: 피싱 사이트로 연결하여 개인정보(ID/PW, 금융정보) 입력을 유도하거나 악성 앱(APK) 설치 유도.
정보 탈취 및 피해: 설치된 악성 앱을 통해 소액 결제, 정보 유출, 좀비 폰 활용 등 2차 피해 발생.
나. 주요 공격 유형
| 유형 | 상세 내용 |
| 피싱 유도형 | 가짜 은행/공공기관 사이트로 접속시켜 금융 정보를 입력하게 함 |
| 악성 앱 설치형 | 무료 쿠폰, 할인 등을 미끼로 악성 실행 파일(APK) 다운로드 유도 |
| 중간자 공격(MitM) | 정상 사이트 연결 전 중간 단계에서 데이터를 가로채거나 변조 |
| 결제 가로채기 | 공유 서비스 결제 시 공격자의 계좌로 송금되도록 QR코드 변조 |
3. 큐싱 방지를 위한 기술적·관리적 대응 방안
가. 기술적 대응 방안
안전한 브라우저 활용: URL을 미리 보여주는 기능을 가진 QR 스캐너 앱 사용 및 위험 사이트 자동 차단 서비스 연계.
모바일 보안 솔루션: 스마트폰 내 백신 및 스미싱 차단 앱(모바일 보안 앱) 설치 및 실시간 감시 활성화.
화이트리스트 기반 차단: 신뢰할 수 있는 도메인만 접속을 허용하는 보안 정책 적용.
나. 관리적 대응 방안
육안 점검: 공공장소 QR코드 이용 시 스티커가 덧붙여져 있는지, 출처가 불분명한지 확인.
사용자 교육: "QR코드는 곧 URL 링크"라는 인식 확산 및 출처 불분명한 QR 스캔 자제 캠페인.
서비스 제공자 관리: QR코드 기반 서비스를 제공하는 업체는 주기적으로 부착된 QR코드의 무결성 점검.
4. 제로 트러스트(Zero Trust) 관점의 큐싱 대응 제언
동적 QR코드 활용: 정적(Static) QR 대신 유효 시간이 짧고 암호화된 동적(Dynamic) QR 도입을 통해 복제 및 변조 리스크 최소화.
다중 인증(MFA) 강화: QR코드 스캔 후 중요 정보 입력 시 생체 인증이나 OTP 등 추가적인 본인 인증 절차 의무화.
결언: 큐싱은 기술적 결함보다는 사용자의 심리를 이용하는 사회공학적 공격(Social Engineering)의 성격이 강함. 따라서 기술적 차단 체계와 함께 사용자의 보안 인식 제고를 병행하는 '심층 방어(Defense in Depth)' 전략이 필수적임.
댓글 없음:
댓글 쓰기