QR코드 사용 확대에 따라 점차 고조되는 ‘큐싱’ 위협에 대비해야 

▲ 실제 악성 애플리케이션 설치를 유도하는 QR코드(모자이크 처리)

[보안뉴스 권 준] 우리나라는 최근 보이스피싱을 비롯해 파밍, 스미싱, 메신저피싱 등 이른바 4대 악성 피싱으로 골머리를 앓고 있다. 수많은 사람들이 피해를 입었으며, 이로 인한 대응책도 다양하게 마련되고 있다.

이렇듯 많은 사람들이 파밍, 스미싱 등의 공격에 피해를 입으면서 이러한 공격기법에 익숙해졌고, 면역력도 강화되고 있는 셈이다. 그럼 공격자들의 다음 목표는 무엇이 될까? 그 타깃은 스마트폰의 대중화로 널리 활용되고 있는 QR코드가 될 것이라는 지적이 제기되고 있다. 

 

이와 관련 IT 보안 컬럼리스트로 활약하고 있는 이규형 군(안양 평촌고 3학년)은  “QR코드를 통해 애플리케이션 다운을 유도할 수 있고, URL의 정보를 담을 수 있다”며, “파밍, 스미싱 등은 이제 익숙한 공격이 되어 대응법들이 많이 나온 상태지만, 아직 특별한 보안조치가 없는 QR코드를 악용해 공격이 이루어진다면 큰 피해가 발생할 수 있다”고 우려했다. 이에 그는 이러한 신종 공격기법을 QR코드와 피싱을 합쳐 ‘큐싱(Qshing)’이라는 신조어로 정의하기도 했다. 

2차원 바코드의 일종인 QR 코드는 명함을 비롯해 신문·잡지, 대중교통수단, 각종 상품, 그리고 전광판 등에 URL를 대신해 삽입되면서 기업 마케팅이나 개인·단체 등의 홍보수단으로 널리 활용되고 있다.

이렇듯 QR코드는 간단한 사진 촬영만으로 각종 정보를 획득할 수 있기 때문에 유용하지만, 반대로 악용될 경우 정상 URL를 중간에서 가로채 악성링크로의 접속을 유도하거나 직접 악성코드를 심는 통로로 활용될 가능성도 다분하다. 더욱이 QR코드는 간단한 방법만 알면 누구나 만들 수 있고, 악성링크가 삽입되거나 위·변조되더라도 식별이 쉽지 않기 때문에 문제가 더욱 심각하다.  

QR코드의 보안위협에 대해 이규형 군은 “예전부터 QR코드의 위험성은 어느 정도 예견되고 있었기에 이것이 심각한 보안문제로 대두되기 전에 악성 QR코드에 대한 대비책을 준비해야 한다”고 말했다.   

실제 외국에서는 안드로이드 스마트폰에 악성코드를 배포하는 수단으로 QR코드가 사용된 사례가 여러 차례 발견됐다. 스마트폰 확산으로 대중화된 QR코드가 해커의 악성코드 배포수단으로 활용되기 시작된 것. 국내에서는 아직 대규모 피해사례가 보고되지는 않았지만, 악성 QR코드가 제작돼 배포되고 있을 가능성이 높다는 지적이다.  

이와 관련 이 군은 “QR코드는 아무나 쉽게 만들어도 누가 만들었는지 모를 수밖에 없는 실정”이라며, “QR코드 제작업체들은 적어도 불손한 의도로 QR코드가 제작될 수 없도록 제작자에 관한 최소한의 정보를 수집하고 불법사이트를 관리하는 공공기관과 연계하여 QR코드를 통해 불법사이트가 유포되는 일을 차단해야 한다”고 설명했다. 

덧붙여 그는 “모바일 백신 업체에서는 QR코드를 인증할 때 자동적으로 URL를 검사하는 기능을 추가하고, 정부에서도 악성 QR코드에 대비하여 스마트폰 사용자들에게 이를 적극 홍보하거나 별도의 보안수칙을 마련해 알리는 노력이 필요하다”고 강조했다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>