QR 코드(QR code)는 보안 목적이 아닌, 생활을 편리하게 하기 위해 설계되었습니다. 이는 사기꾼들에게 완벽한 ‘선물’이 되기도 합니다. 로브 리(Rob Lee) SANS 연구소의 AI 및 신종 위협 부서 책임자는 CNBC와의 인터뷰에서 이렇게 언급했습니다. 뉴욕 포스트(NYPost)에 따르면, QR 코드는 공공장소에서 유용하게 사용되며, 사용자가 정보를 빠르게 확인할 수 있도록 돕습니다. 예를 들어, 멋진 털을 가진 매머드의 식습관이나 칭기즈 칸의 군사 전략을 박물관에서 관람할 때 활용됩니다. 스마트폰의 폭발적인 보급과 함께 QR 코드는 편의점, 식당, 주차장 등 다양한 필수적인 분야에도 등장했습니다.
하지만 해커들은 이러한 인기 있는 QR 코드를 이용해 사기 수법을 발전시켜 왔습니다. 블루보얀트(BlueVoyant)의 사이버 보안 책임자 더스틴 브루어(Dustin Brewer)는 “많은 기술 발전이 좋은 목적에서 시작되지만, QR 코드는 점점 악용되고 있다”고 경고했습니다. “QR 코드는 주유소, 간판, TV 광고, 레스토랑 등 어디에나 존재하며, 유용하면서도 위험할 수 있습니다.” 이러한 사기 수법은 ‘퀴싱(Quishing, QR phishing)’이라고 불립니다. 브루어는 공격자가 무해해 보이는 ‘네모’를 이용해 피해자가 악성 웹사이트에 접속하도록 유도하거나 개인 정보를 무심코 공유하게 만든다고 설명했습니다.
올해 퀴싱 사기가 증가하면서 미국의 여러 기관들이 경고를 발령했습니다. 뉴욕 교통부와 하와이 전력회사는 고객들에게 QR 코드를 스캔할 때 주의할 것을 당부했습니다. 연방거래위원회(FTC)는 시민들에게 의심스러운 QR 코드를 스캔하지 말라고 권고하며, 불분명한 소포에 붙어 있거나 집 앞에 갑자기 나타난 QR 코드에 대해 조심할 것을 강조했습니다. FTC에 따르면, 낯선 QR 코드를 스캔할 경우 사용자는 개인 정보, 신용 카드, 결제 계좌를 탈취하는 사기 웹사이트로 유도될 수 있다고 합니다.
베트남에서 QR 코드는 인기 있는 결제 수단 중 하나입니다. 예전에는 은행명과 계좌번호를 입력해야 했지만, 이제는 QR 코드를 스캔하기만 하면 정보가 자동으로 입력됩니다. 여러 기관 간의 연결로 인해 QR 결제는 간편해졌지만, 사기꾼들이 QR 코드를 덮어씌워 고객의 돈이 자신의 계좌로 옮겨지도록 하고 있습니다.
로체스터 대학교의 가우라브 샤르마(Gaurav Sharma) 교수는 QR 코드 사기가 앞으로 증가할 것이라고 예측했습니다. 정보 제공 및 결제 방식으로 QR 코드가 점점 보편화되기 때문입니다. 전통적인 이메일이나 문자 메시지 사기가 보안이 강화되고 사용자들이 경계심을 갖게 되면서 수행하기 어려워진 반면, QR 코드 사기는 피해자가 경계하기 더욱 어렵게 만듭니다.
실제로, 메이크유즈오프(Makeuseof)에 따르면 QR 코드는 전통적인 이메일 사기보다 더 위험하다고 평가되고 있습니다. 사용자가 암호화된 웹 주소를 읽거나 확인할 수 없기 때문입니다. 비록 쉽게 읽을 수 있는 텍스트가 포함되어 있을지라도, 공격자는 사용자가 신뢰하도록 속일 수 있는 방식으로 수정할 수 있습니다.
일부 통계에 따르면 이러한 추세가 나타나고 있습니다. 예를 들어, 사이버 보안 회사 킵넷 랩스(KeepNet Labs)가 발표한 연구에 따르면, 현재 악성 링크의 26%가 QR 코드를 통해 전송되고 있습니다. 또한 사이버 보안 기업 노드VPN(NordVPN)에 따르면, 73%의 미국인이 QR 코드를 확인 없이 스캔하며, 2천600만 명이 악성 웹사이트로 리디렉션되었습니다.
모바일 기기의 폭발적인 보급으로 인해 QR 사기는 아이폰과 안드로이드 스마트폰 모두를 겨냥하고 있습니다. 안티바이러스 소프트웨어 회사 맬웨어바이츠(Malwarebytes)에 따르면, 아이폰 사용자가 피해자가 될 가능성이 더 높은데, 70%의 아이폰 사용자가 구매 거래를 시작하거나 완료하기 위해 QR 코드를 스캔한 반면, 안드로이드 사용자는 63%에 불과합니다.
“여기서 핵심은 신뢰입니다,”라고 맬웨어바이츠의 연구원 데이비드 루이즈(David Ruiz)는 블로그에 적었습니다. “아이폰 사용자는 안드로이드 사용자보다 기기에 대한 신뢰를 더 많이 나타내며, 이는 그들을 경계심을 잃게 만들 수 있습니다.”
연령대에 관한 IBM의 연구에 따르면, 노인들은 퀴싱 사기에 가장 큰 영향을 받는 경향이 있습니다. 그러나 기술에 익숙한 젊은 세대 역시 QR 코드를 자주 스캔하면서 높은 위험에 직면하고 있습니다.
“문제가 심각하지는 않지만, 공격자들이 매우 선호하는 높은 수익을 가져다주는 저비용의 전술입니다,”라고 IBM의 사이버 보안 전문가 조쉬 나데우(Josh Nadeau)는 블로그에 썼습니다. 나데우는 사용자가 QR 코드를 스캔하기 전에 신중하게 생각하고 신뢰할 수 있는 출처에서 온 것인지 확인해야 한다고 강조했습니다. 공공장소에서 QR 코드를 사용할 때는 픽셀이 깨지거나 위치가 어긋나거나 다른 코드가 덮여 있는 물리적 위조 징후를 찾아야 합니다. 스캔할 때 화면에 표시되는 링크를 주의 깊게 확인한 후 리디렉션에 동의해야 합니다.
보다 안전한 새로운 보안 솔루션도 개발되고 있습니다. 예를 들어, 로체스터 대학교의 샤르마 교수는 SDMQR(Self-Authenticating Dual-Modulated QR)이라는 새로운 코드를 개발하고 있습니다. 이 코드는 주요 내용과 디지털 서명을 포함한 두 가지 메시지를 담고 있습니다. 스캔할 때, QR 읽기 소프트웨어는 서명을 확인하여 해당 코드가 신뢰할 수 있는 기관에 의해 서명된 것인지 확인할 수 있어, 사용자가 “정품”인지 의심스러운지를 알 수 있도록 합니다.
세계에서 가장 큰 어린이 박물관인 인디애나폴리스 어린이 박물관(Children’s Museum of Indianapolis)은 매년 백만 명 이상의 관람객을 맞이하며, 표준 단색 코드 대신 고유한 로고와 색상을 활용한 QR 코드를 적용하고, QR 코드를 스캔할 때 관람객이 볼 수 있는 내용도 명확히 설명하고 있습니다.