큐싱(QR코드 피싱) 사기 주의

전화를 통한 보이스 피싱사기나 스마트폰과 SNS를 이용한 스미싱 사기는 말을 많이 들어보았지만 큐싱이라는 말은 많이 들어보지 못했습니다. 

 

지방세 환급신청 시 큐알 코드 스캔을 통한 신청 절차 등 여러 면에서 편리하게 사용되는 큐알(QR) 코드가 악용되는 일이 잦아지고 있습니다. 일상에서 많이 쓰이는 큐알코드를 이용한 사기 범죄가 큐싱(Qshing )입니다. 피해자가 QR코드를 스마트폰 큐알 코드리더로 찍으면 악성 앱이 설치되는 방식이라고 하는데 예전보다 발전한 수법의 교묘하고 악질적인 사기입니다. 

 

https://n.news.naver.com/mnews/article/003/0012146670?sid=105

공공자전거 타려고 QR코드 찍었는데…알고보니 사기?

코로나19 방역캠페인 때 출입통제를 위해 큐알코드를 스캔하거나 공공자전거 이용시 큐알코드를 사용하는 등 일상에서 OR코드를 사용하는 일이 늘어나서 이를 악용한 사기행각을 벌이는데 일반인들은 보이스피싱이나 스미싱은 많이 들어봤어도 큐싱에 대한 경험이나 지식이 부족하고 경각심이 덜해 피해를 보는 일이 최근 늘어나고 있습니다.

 

정상적인 QR코드 인것처럼 위장한 가짜 QR코드를 피해자가 스캔하면 피해자의 스마트폰에 악성앱이 설치되고 이를 통해 개인정보를 탈취해 가는 방식이 큐싱 수법입니다. 

 

큐싱사기 피해 사례

 

사기꾼들은 스마트폰이나 정보통신 기술이 발전하면서 하루가 다르게 새로운 악성앱과 사기방식을 고안해 내고 있습니다. 피싱과 스미싱 등에 의한 범죄 피해가 널리 알려지고 있어도 아직도 우리 사회에는 악질적인 사기꾼들의 범죄에 희생당해 재산을 잃고 회복할 수 없는 피해를 당하는 사람들이 적지 않습니다. 

 

어떤 피해자는 은행앱을 이용하여 이체거래를 하던 중 인증이 필요하다고 나타난 QR코드를 스캔하였다가 본인도 모르게 돈이 빠져나가는 피해를 입기도 하였다고 합니다. 이처럼 큐싱은 QR코드에 링크된 악성 앱 URL 설치를 유도하여, 개인·금융정보 탈취, 모바일기기 원격 통제, 소액 결제 등 사기피해를 입히는 신종 범죄라고 할 수 있습니다.  

 

최근에는 AI를 교묘하게 이용한 가짜 음성이나 메시지 등 기상천외한 방법으로 사기를 치기 때문에 웬만큼 주의하여도 눈뜨고 당하는 일도 생깁니다. 

 

각종 문자메시지나 URL, SNS, QR코드, 사설앱 마켓 등 다양하고 기상천외한 경로를 통해 정상앱인 것처럼 가장한 가짜 악성앱이 유포되기 때문에 공식적으로 출처가 담보된 곳이 아니라면 항상 의심을 먼저 해보아야 하고 알 수 없는 출처의 앱은 절대 다운로드하지 않도록 해야 합니다. 

 

 

큐싱 사기 피해 당하지 않으려면

1. 보안 앱(백신) 설치 

모바일전용 보안 앱이나 스미싱 탐지 앱을 설치하여 최신 버전을 유지해야 합니다. 만약 악성앱이 이미 설치되었다면 스마트폰을 안전모드로 부팅한 후 [설정] → [보안] → [기기관리자] 메뉴에서 관리자 권한을 비활성화한 후 해당 앱을 삭제해야 합니다. 

 

2. 불확실한 QR코드 함부로 스캔하지 않기

특히 공공장소나 보안이 유지되지 않는 공간과 사이트에서 제공되는 QR코드는 더욱 신중하게 확인하고 스캔을 해야 할 것입니다. 전문가들은 E메일로 QR코드 인증을 요구하는 경우는 드물기 때문에 E-mail로 전송된 QR코드는 더욱 각별한 주의를 하도록 권합니다. 

 

3. 금융이나 보험 등 개인정보가 악용될 위험이 큰 중요 사이트만이라도 비밀번호를 다르게 설정

여러 사이트를 동일한 비밀번호를 사용하는 사람들이 의외로 많습니다. 비밀번호를 외우는 것이 쉽지 않고 번거롭기도 하기 때문인데 한 번 노출되면 모든 개인정보와 금융정보가 한꺼번에 털리게 되는 위험이 큽니다. 따라서 자주 사용하는 주요 사이트의 경우 비밀번호를 모두 다르게 설정하여 관리하는 것이 피해를 줄이는 길이 됩니다. 

 

비밀번호를 공통된 숫자나 문자와 자신만이 유추할 수 있는 해당 사이트 제목을 각각 나타내는 숫자와 문자 등을 조합하여 만들어 사용하면 쉽게 외울 수 있는 사이트별 비밀번호를 만들 수 있습니다. 

 

예) XXXXABCXXXabc (XXXX, XXX는 생일 또는 가족명 이니셜 등으로 만든 모든 사이트에 공통으로 쓰는 비밀의 숫자 또는 문자, ABC, abc는 해당 사이트 별로 유추가능한 문자 또는 숫자 - 국민은행사이트라면 ABC는 RNR('국'을 영문대문자로 타이핑). abc는 kuk(국을 영어 발음으로 타이핑) 하는 식으로 조합하여 만들면 쉽게 기억할 수 있는  비밀번호를 만들 수 있습니다.