Quishing(QR코드 피싱): 완벽한 보호 가이드
Quishing(QR코드 피싱)은 범죄자들이 정상적인 QR코드를 악성 코드로 교체하거나 피해자를 사기 웹사이트로 리다이렉트하는 가짜 코드를 생성하는 빠르게 증가하는 사이버공격 수법입니다. FBI의 인터넷범죄불만센터에 따르면, 2022년에서 2023년 사이 QR코드 관련 사기는 587% 증가했으며, 평균 손실액은 사건당 약 1,500달러에 달합니다. 이러한 공격은 QR코드를 인간이 읽을 수 없다는 사실을 악용하여 스캔 전에 도착지를 확인할 수 없게 만듭니다. 이 사기는 일반적으로 주차 미터기, 레스토랑 테이블, 제품 포장재 또는 정상적인 회사로 보이는 이메일 첨부파일에 사기성 QR코드를 배치하는 방식으로 작동합니다. 스캔되면 이 코드들은 로그인 자격증명, 은행 정보 또는 결제카드 세부 정보를 수집하도록 설계된 설득력 있는 가짜 웹사이트로 피해자를 리다이렉트합니다. 기업 환경에서 공격자들은 이메일을 통해 QR코드를 전송하여 기존 보안 필터를 우회하고 직원들을 가짜 Microsoft 365 로그인 페이지나 급여 포털로 유도합니다. Quishing이 특히 위험한 이유는 기존의 보안 조치를 우회할 수 있기 때문입니다. 기존 이메일 보안 시스템은 악성 콘텐츠를 위해 URL과 첨부파일을 스캔하지만, QR코드는 무해한 이미지로 나타납니다. 또한 많은 스마트폰이 QR코드의 링크를 먼저 전체 URL을 표시하지 않고 자동으로 열기 때문에 피해자는 도착지를 확인할 기회가 없습니다. 미국연방거래위원회(FTC)는 2023년 QR코드 사기로 인한 기업의 손실액이 4,800만 달러 이상이었으며, 소비자와 직원 모두 이러한 정교한 공격의 피해자가 되었다고 보고했습니다.
주요 수법
- • 물리적 QR코드 교체: 사기꾼들은 악성 QR코드가 있는 스티커를 인쇄하여 주차 미터기, 레스토랑 결제 단말기, 전기차 충전소, 배송 패키지 라벨의 정상 코드 위에 붙여 결제를 자신의 계좌로 리다이렉트합니다.
- • 이메일 기반 quishing 캠페인: 공격자들은 IT 부서, HR, 금융기관으로 위장한 전문적인 이메일을 보내 긴급 비밀번호 재설정, 다중인증 설정, 송장 결제를 위한 QR코드를 포함시키며, 이는 자격증명 수집 사이트로 연결됩니다.
- • 가짜 주차 위반 고지서: 범죄자들은 유리창에 사기성 주차 딱지를 붙여 QR코드로 빠른 결제 옵션을 제공하는 것처럼 보이게 하지만, 실제로는 스캔 시 신용카드 정보와 개인정보를 탈취합니다.
- • 암호화폐 투자 미끼: 사기꾼들은 소셜미디어와 메시징 앱을 통해 독점적인 암호화폐 투자 기회 접근을 제공하는 QR코드를 배포하지만, 실제로는 스캔 시 피해자의 디지털 지갑을 비웁니다.
- • 소포 배송 사기: 사기꾼들은 배송 일정 변경이나 관세 납부를 위한 QR코드가 포함된 문자메시지나 이메일을 보내 결제카드 정보를 수집하는 가짜 우편 서비스 사이트로 연결합니다.
- • 레스토랑 메뉴 및 결제 사기: 공격자들은 레스토랑의 디지털 메뉴나 테이블 서비스 결제를 위한 가짜 QR코드를 생성하여 고객이 계산하려 할 때 신용카드 세부정보를 탈취하는 모방 사이트로 리다이렉트합니다.
식별 방법
- URL 미리보기 불일치: 링크를 열기 전에 휴대폰에 표시되는 미리보기 URL이 예상된 도착지와 일치하지 않는지 확인하세요(예: 주차 미터기 QR이 도시의 공식 도메인이 아닌 개인 웹사이트 URL을 표시하는 경우).
- 물리적 변조 증거: 원본 QR코드 위에 붙은 스티커, 잘못 정렬된 인쇄, 다른 종이 품질, 원본 자료의 일부로 전문적으로 인쇄되지 않고 나중에 추가된 것처럼 보이는 코드를 찾으세요.
- 긴급 조치 요청: '계정이 24시간 내에 정지됩니다', '긴급 보안 업데이트 필요', '2시간 내에 결제하지 않으면 벌금 부과'와 같은 위협 언어를 동반한 QR코드를 의심하세요. 정상적인 서비스는 이러한 압박 전술을 거의 사용하지 않습니다.
- 일반적이거나 개인화되지 않은 커뮤니케이션: 실제 이름을 사용하지 않거나 모호한 계정 문제를 언급하거나 발신자와의 관계에 대한 구체적인 세부정보가 없는 이메일이나 메시지는 사기성일 가능성이 높습니다.
- 예상치 못한 인증 요청: 시작하지 않은 다중인증 설정, 계정 세부정보 확인 또는 신원 확인을 위한 QR코드가 담긴 요청이 도착하면 이는 주요 경고 신호입니다.
- 결제 도착지 불일치: QR코드가 결제 페이지로 이동하면 수신자 이름, 비즈니스 세부정보, 결제 처리업체가 예상과 일치하는지 확인하세요. 사기꾼들은 일반적으로 확립된 판매자 서비스 대신 개인 계좌나 익숙하지 않은 결제 플랫폼을 사용합니다.
자신을 보호하는 법
- URL 미리보기 기능이 있는 QR 스캐너 설치: 전체 도착지 URL을 열기 전에 표시하는 QR코드 리더 앱을 사용하고, 항상 도메인이 정상 조직과 정확히 일치하는지 확인하세요('o' 대신 '0'을 사용한 'micros0ft.com' 같은 미묘한 오타 확인).
- 공식 URL 직접 입력: 은행, 비밀번호 재설정, 결제 등 민감한 작업을 위해 QR코드를 스캔하는 대신, 브라우저에 URL을 직접 입력하거나 저장된 북마크를 사용하여 공식 웹사이트로 이동하세요.
- 스캔 전 물리적 QR코드 확인: 주차 미터기, 결제 단말기, 제품 포장재의 변조 흔적을 살펴보세요. 정상적인 QR코드는 원본 자료의 일부로 인쇄되어야 하며, 스티커나 별도 라벨을 통해 추가되지 않아야 합니다.
- 모든 계정에 이중 인증 활성화: 사기꾼들이 quishing을 통해 자격증명을 획득하더라도, 인증기 앱을 사용한 적절한 2FA(SMS 제외)는 보조 확인 코드 없이 계정에 접근하는 것을 방지합니다.
- 공식 채널을 통해 조직에 연락: QR코드가 긴급 조치가 필요하다고 주장하면, 의심스러운 메시지에 제공된 정보가 아닌 공식 출처의 전화번호나 웹사이트를 사용하여 독립적으로 조직에 연락하세요.
- 모바일 보안 소프트웨어 사용: 평판이 좋은 모바일 보안 앱을 설치하여 QR코드를 통해 접근한 경우에도 악성 웹사이트를 감지하고 차단할 수 있으며, 자격증명 탈취 및 악성코드로부터 추가 보호층을 제공합니다.
실제 사례
소규모 사업주는 '필수 보안 확인'을 위한 QR코드가 포함된 회계 소프트웨어 제공업체로부터 보이는 이메일을 받았습니다. 스캔하면 설득력 있는 가짜 로그인 페이지로 이동하여 자격증명을 입력했습니다. 2시간 이내에 사기꾼들은 계정에 접근하여 복구 정보를 변경하고 외부 계좌로 총 8,400달러의 사기성 ACH 이체를 제출했습니다. 해당 기업은 정상적인 결제 요청이 자금 부족으로 거절되면서 침해 사실을 발견했습니다.
인기 있는 도심 레스토랑의 손님들이 테이블 텐트의 QR코드를 스캔하여 메뉴를 보려 했지만, 사기꾼들이 밤사이에 정상 코드를 교체했던 것입니다. 가짜 코드는 레스토랑의 실제 주문 시스템과 동일하게 보이는 복제 웹사이트로 연결됐습니다. 주말 동안 47명의 고객이 식사 비용을 결제하기 위해 신용카드 정보를 입력했으며, 사기꾼들은 레스토랑이 교체를 발견하기 전 즉시 평균 고객당 2,300달러의 사기성 구매에 탈취한 정보를 사용했습니다.
신고 채널 — 대한민국
귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.
이 사기를 의심하시나요?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), quishing(qr코드 피싱): 완벽한 보호 가이드 is described at https://scamlens.org/ko/encyclopedia/quishing-qr-code-phishing.