QR코드 스캔을 통한 해킹, '큐싱(Qshing)' 공격이란? - 위드네트웍스

 

 

점점 더 많은 것들이 연결되는 세상에서 커뮤니케이션 수단은 점점 더 다양화되고 있습니다. 이러한 커뮤니케이션 수단의 다양화는 사이버 범죄자들의 새로운 공격 수단이자 통로가 되었습니다. 그리고 오늘 말씀드리고자 하는 QR코드 또한 사이버 범죄에 사용되고 있습니다.

 

예를 들어, 올해 초 미국의 주요 에너지 회사를 대상으로 한 QR 코드 사기 사건이 발생했으며 보안 분석가들은 이러한 소위 퀴싱 공격(Qshing)이 증가하고 있다고 경고하고 있습니다.

 

 

 

퀴싱(Qshing)이란 "QR 코드"와 "피싱(Phishing)"을 합친 것입니다. 즉, 악의적인 행위자가 개인 정보와 민감 정보를 "낚아서 가로채는" 것입니다.

 

여러분의 스마트폰과 이메일에서 보이스 피싱, 스미싱뿐 아니라 이제는 퀴싱 또한 주의해야 합니다. 좋은 소식은 여러분이 이미 시행하고 있는 보안 수칙이 여기서도 도움이 될 것입니다.

 

 

QR 코드 해킹의 작동 방식

 

QR 코드는 이제 대중화 되어 거의 모든 사람들이 잘 사용하고 있습니다. QR 코드는 휴대폰이나 다른 장치의 카메라로 번역할 수 있는 일종의 상형 문자 역할을 하는 흑백 사각형 격자이며, 대부분 웹사이트 URL로 변환되지만 일반 텍스트 메시지, 앱 목록, 지도 주소 등을 가리킬 수도 있습니다.

 

 

QR 코드는 실제 웹사이트와 마찬가지로 쉽게 사기성 웹사이트와 연결될 수 있는데요, 방문하기 전에는 어떤 웹사이트인지 알 수 없다는 것이 위험합니다. QR 코드를 스캔하면 일반적으로 화면에 URL이 함께 표시되지만, 해당 웹사이트 주소가 얼마나 안전한지 한눈에 알 수 있는 경우는 거의 없기 때문입니다.

 

QR 코드를 만드는 데 특별한 툴이 필요하지 않습니다. 따라서 자신만의 QR 코드를 만드는 것은 오히려 만들어진 QR코드를 스캔하는 것보다 훨씬 쉽습니다. 따라서 악의적인 목적으로 만들어진 가짜 웹사이트로 연결되는 QR 코드를 생성하려면 단지 몇 분 밖에 걸리지 않습니다. 그런 다음 QR 코드를 벽에 붙이거나, 이메일에 첨부하거나, 문서에 인쇄하여 스캔을 유도할 수 있습니다.

 

이러한 QR코드 해킹의 목적은 여러분의 계정이나 기기에 침투하기 위해 무언가를 다운로드하도록 유도하거나 일부 로그인 계정을 입력하도록 유도하여 곧바로 다음 웹사이트로 전달되도록 하는 것입니다. 심지어 그렇게 만들어진 가짜 웹사이트 즉, 스푸핑 사이트는 진짜 웹사이트와 디자인이 동일하며 신뢰할 수 있는 것처럼 보이도록 설정되어 있을 가능성이 높죠.

 

 

QR 코드 해킹 방지 방법

QR 코드 해킹을 예방하기 위해서 사용자는 이메일이나 문자 메시지와 마찬가지로 QR 코드가 어디에서 왔는지 확실하지 않은 경우 QR 코드를 스캔하지 말아야 합니다. 왜냐하면 해당 QR이 어떤 사이트와 연결되어 있을지 알 수 없기 때문입니다.

 

따라서, 의심스러워 보이는 이메일이나 확인할 수 없는 웹 사이트에 QR코드가 첨부되었다면 함부로 QR코드를 스캔하면 안됩니다. 반면, 동네 식당 메뉴에 있는 QR 코드는 해커가 생성했을 가능성이 거의 없기 때문에 조그만 주의를 기울이면 아무 QR 코드나 스캔해서 공격 당하는 일은 없게 되는 것이죠.

 

하지만 여기서 주의해야 할 것은 친구, 가족, 동료의 계정이 손상될 가능성이 있다는 것입니다. 따라서 지인이 보내온 QR코드라고 해서 해당 QR 코드가 포함된 메시지가 진짜인지 100% 확신할 수는 없습니다.

 

여러 피싱 기법이 진화하면서 더이상 나는 피싱 수법에 속지 않아 라고 자부할 수가 없는 시대가 왔습니다. 또한 피싱 수법은 일반적으로 굉장한 심각하고 급한 상황인 것처럼 꾸며 피해자의 경계심을 무너뜨립니다. 

 

따라서 사용자가 실수를 하더라도 QR 코드 공격으로부터 개인정보를 보호하기 위해서는 모든 계정에 대해 이중 인증을 활성화하고, 개인 정보(예: 계정 복구에 사용할 수 있는 백업 이메일 주소 및 전화번호)가 최신인지 확인하고, 사용하지 않는 장치에서 로그아웃하는 것이 중요합니다. 또한 더 이상 필요하지 않은 기존 계정은 삭제하는 것이 좋습니다.

 

마지막으로, 소프트웨어를 최신 상태로 유지해야 합니다. 왜냐하면 여러 주요 모바일 웹 브라우저의 최신 버전에는 악성 사기성 링크를 찾아내는 기술이 내장되어 있기 때문입니다. 이러한 통합 보호 기능이 아직 완벽한 것은 아니지만 브라우저와 모바일 OS가 최신 버전일수록 경고를 받을 확률이 높아집니다. 웹에서 안전하지 않은 장소를 방문하려고 하면 화면에 표시될 수 있습니다.

 

img source: WIRED

 

---

Total ICT・지능형 보안 서비스 전문 플랫폼 혁신기업, 위드네트웍스 

위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.

 

또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 특히 여러분 기업에 최적화된 지능형 아이덴티티 보안 체계를 하고자 하시거나 이에 대한  문의 사항이 있으시다면 아래의 제품 문의를 통해 자유롭게 문의 주시기 바랍니다!

​

감사합니다, 위드네트웍스는 여러분의 비즈니스를 응원합니다!

 

 

<참고: "How to Net Get Hacked by a QR Code", David Nield, 2023.12>