큐알코드를 스캔한 후 개인정보가 유출되어 피해를 보는 신종 피싱이 일어나고 있습니다.
오늘은 큐알코드 피싱인 큐싱의 사례, 예방 방법에 대해서 알아보겠습니다.
큐싱이란 (큐알코드 피싱)
QR코드와 피싱의 합성어인 큐싱(Qshing)은 신종 피싱으로 QR코드를 스캔하면 스마트폰에 악성앱이 설치되면서 전화번호, 문자메시지, 보안카드 정보 등 모든 개인정보가 유출되어 이로 인해 금전적 피해를 입는 경우입니다.
문자메시지에서 표시된 URL을 절대 누르지 말라는 것은 익숙하지만 QR코드를 찍으면 링크된 주소도 확인 후 실행해야 한다는 것입니다.
큐알코드 피싱 사례
요즘 우체국 도착 안내서 사칭 피싱이 사람들이 가장 쉽게 속을 수 있는 큐싱 사례로 큐알코드를 찍으면 해당 링크로 연결시 악성앱이 설치되어 개인정보가 떨리게 되는 데 세금통지서, 상품권, 이벤트 홍보물, 무료 쿠폰, 공유 킥보드, 자전거 등의 경우도 동일한 경우입니다.
또한 음식점 테이블, 카페 등 여러 사람들이 이용하는 공간에 있는 QR코드를 조작해서 사용자도 인식하지 못하게 개인정보를 갈취하는 경우도 있습니다.
최근 또 문제가 되고 있는 것이 공유 자전거 및 킥보드의 결제 QR코드를 위조해서 사용자의 카드 정보를 탈취하는 경우입니다.
이 외에도 택배의 배송조회를 QR코드를 사용하는 경우와 이메일, 문자, SNS 등에 QR코드를 삽입하여 사용자가 스캔할 경우 앱 설치나 개인정보 입력을 유도하여 피해를 입는 경우도 있습니다.
QR코드는 진짜와 가짜를 구분하기 어려워 스캔을 하는 순간에 그 위험상황을 인지하지 못해 계좌번호, 주민등록번호, 비밀번호 등 개인정보 유출로 인해 그 피해가 더 커질 수 있다는 점입니다.
큐싱 피해 예방 방법
1.출처가 불분명한 QR코드 스캔 금지
길거리나 공공장소의 홍보물 등에 표시된 출처가 분명하지 않는 큐알코드는 절대 스캔을 하면 안됩니다. 합니다
또한 QR코드 위에 다른 큐알코드가 덧붙여져 있는 지 먼저 확인해야 합니다. 이는 위조일 확률이 높으므로 스캔전에 상태를 확인해야 합니다.
2. 큐알코드에 연결된 URL 확인
큐알코드를 스캔한 후 연결된 URL을 반드시 확인해야 합니다.
3. 출처를 알 수 없는 앱 설치 제한 스마트폰 설정
스마트폰에서 출처를 알 수 없는 앱이 설치되지 않도록 설정합니다. 삼성의 갤럭시 경우 설정 > 보안 및 개인정보 보호에서 “출처를 알 수 없는 앱 설치”에서 “허용안함”으로 설정하여 출처가 불분명한 앱이 곧바로 설치되지 않도록 해야 합니다.
4. 모바일 전용 백신 사용
V3 Mobile Plus, 알약M과 같은 모바일 전용 백신이나 보안앱을 설치하여 실시간 탐지 및 자동 차단되도록 미리 대비하는 것도 추천드립니다.
5. 가짜 QR코드인지 미리 확인하기
KT에서는 마이케이티 앱을 설치하면 “안심 QR”서비스를 로그인 없이 누구나 사용할 수 있는데 이는 가짜 QR코드인지 확인해주는 서비스입니다.
또한 한국인터넷진흥원 카카오톡 채널에서도 큐싱을 예방할 수 있는 서비스를 하고 있는 데 “보호나라”로 채널을 검색한 후 하단 메뉴에 있는 “큐싱”을 실행한 후 QR코드를 찍으면 가짜 QR코드인지 판단할 수 있습니다.
만약 QR코드를 스캔했다면 스캔 후 링크주소를 반드시 확인해야 하며 복잡한 주소로 기관명을 확인할 수 없다면 즉시 종료해야 합니다.
또한 QR코드 스캔으로 악성앱 설치나 개인정보 유출이 의심된다면 즉시 모든 네트워크가 차단되도록 스마트폰을 비행기모드로 변경한 후 모바일 백신으로 악성앱을 삭제하거나 직접 앱을 찾아 삭제합니다.
혹시 계좌정보나 카드 피해가 의심된다면 해당 금융사에 전화하여 지급 정지 요청을 해야 하며 경찰청(112), 한국인터넷진흥원(118), 금융감독원(1332)에 신고해야 합니다.