북한 연계 해킹조직이 QR코드를 악용한 신종 피싱 수법을 잇따라 시도하면서 미국 연방수사국(FBI)에 이어 우리 정부도 공식 경고에 나섰다. 겉보기엔 설문조사나 자문 요청처럼 보이지만, QR코드를 찍는 순간 개인정보와 인증정보가 탈취될 수 있어 각별한 주의가 요구된다.
13일 한국인터넷진흥원(KISA)에 따르면 최근 정부기관·싱크탱크 직원을 사칭해 QR코드 촬영을 유도한 뒤 악성 앱 설치나 계정 탈취를 노리는 이른바 ‘큐싱(QR+피싱)’ 공격이 포착됐다. 큐싱은 QR코드 안에 악성 앱 다운로드 주소나 가짜 로그인 페이지 링크를 숨겨, 사용자가 직접 스캔하도록 유도하는 방식이다.
이번 공격의 특징은 보안망이 적용되지 않은 개인 스마트폰을 노린다는 점이다. 공격자는 국내외 싱크탱크 관계자나 외교·정부기관 직원을 사칭해 “정세 관련 설문이나 자문이 필요하다”며 QR코드 접속을 요구했다. QR코드를 찍으면 스마트폰 권한을 탈취하는 악성 앱이 설치되거나, 실제 서비스와 거의 구분되지 않는 가짜 사회관계망서비스(SNS) 로그인 화면으로 이동하게 된다. 이 과정에서 단말기 정보, 문자·사진 등 개인정보가 유출될 수 있다.
보안업계와 정보기관의 경고도 잇따른다. 보안업체 엔키화이트햇은 지난해 말 북한 해킹조직 ‘김수키’가 배송 조회를 가장해 QR코드로 악성 앱 설치를 유도한 정황을 공개했다. 국가정보원 역시 북한 해킹조직이 방산·IT·보건 등 산업기술과 대규모 금전을 탈취하는 과정에서 큐싱 같은 신종 수법을 활용했다고 밝힌 바 있다.
해외에서도 상황은 비슷하다. FBI는 최근 김수키가 정부기관·싱크탱크·학계·기업 인사를 겨냥한 큐싱 공격을 확대하고 있다며 경고문을 냈다. 실제로 지난해 5월, 한 싱크탱크 대표에게 한반도 정세 설문을 빌미로 악성 QR코드가 담긴 이메일이 전달된 사례도 확인됐다.
KISA는 출처가 불분명한 이메일이나 문자에 포함된 QR코드는 촬영하지 말 것을 당부했다. 의심스러운 경우 ‘보호나라’ 카카오톡 채널의 큐싱 확인 서비스를 통해 악성 여부를 점검·신고하고, 이미 스캔했을 가능성이 있다면 모바일 백신 검사, 인증서 재발급, 결제 내역 확인 등 즉각적인 추가 조치를 취해야 한다고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
aftershock@sedaily.com
