QR코드로 해킹하기 (Qshing에 대하여)
사담
근래 회사 분과 식사하기 위해 식당에 갔더니 테이블에 있는 QR코드를 사용하여 주문해달라는 안내를 받았다.
이런 프로세스는 처음 겪어봐서 점점 연세가 있으신 분들은 외부 활동이 어려워질 것 같다고 생각하고 있었다.
그러던 중 회사 분이 한마디 툭 던지셨다.
"QR코드도 해킹할 수 있는 거 알아요?"
이 말을 듣자마자 생각이 들었다.
'와.. 설마 피싱 사이트 만들고 QR코드를 따서 낚아버리는 건가?' 하며 그대로 얘기했더니 맞다고 하셨다.
역시 해킹은 창의적이고 악랄해져야 나도 그만큼 예방하고, 대응할 수 있겠구나 하는 생각이 들었다.
수법은 쉬울 뿐 어떻게 활용하냐의 차이...
그렇게 흥미로운 QR코드 해킹 즉, '큐싱(Qshing)'에 대해 정리해 보려고 한다.
QR코드란?
빠른 응답 코드(Quick Response Code)의 약자로, 일반적으로는 정사각형 모양의 격자로 표시되는 그래픽의 2차원 바코드이다.
실생활에서는 URL, 텍스트, 소셜 미디어, SMS, 이메일, Wi-Fi, 모바일 어플리케이션, 명함 등의 데이터와 연결시킬 수 있다.
큐싱(Qshing)이란?
큐싱(Qshing)은 QR코드를 이용한 피싱(Phishing)의 한 형태로, QR코드와 피싱의 합성어이다.
이 공격 기법은 공격자가 만든 QR코드를 통해 사용자에게 악성 앱의 URL 설치를 유도하며, 이를 통해 개인 및 금융 정보를 탈취하거나 모바일 기기를 원격으로 제어하는 등의 사기를 진행한다.
QR코드를 스캔하기 전까지는 이런 위험성을 확인하기 어렵다는 점을 악용한다.
사용자가 QR코드를 스캔하면, 스마트폰에 악성코드가 포함된 앱이 자동으로 실행되어 정보를 탈취한다.
QR코드의 악용 목적
- 악성 웹사이트 방문
- 멀웨어 감염
- 문자 메시지를 통한 사기
- 어플리케이션 다운로드
주요 예상 피해 시나리오
- 가짜 금융 사이트로 연결되는 QR코드 스캔을 통해 자금 이체나 결제 유도
- 공유 자전거에 부착된 위조 QR코드를 통해 금전 가로채기
- 폰 뱅킹 중 추가 인증을 위해 QR코드 스캔 시 악성 앱(가짜 보안프로그램 등) 설치로 금전 혹은 정보 갈취, 단말기 제어
- 옥외 광고, 제품 포장, 쿠폰 제공, 정보성 글로 QR코드 스캔을 유도하여 악성 사이트로 이동시킨 후 데이터 입력을 통한 정보 탈취
- 무료 Wi-Fi 네트워크 사용을 유도하여 안전하지 않은 네트워크로 접속
큐싱(Qshing)의 대응 방안
- 공공장소나 보안이 검증되지 않은 사이트에서 제공하는 QR코드는 신중하게 확인 후 스캔해야 한다.
- 이메일에 포함된 QR코드는 대부분 정상적인 인증 수단이 아니므로, 접속을 자제한다.
- 자주 이용하는 사이트의 경우, 각기 다른 비밀번호를 설정하여, 하나의 사이트가 피싱으로 인해 정보가 노출되었을 때 다른 사이트까지 영향을 받는 것을 방지해야 한다.
- 사용하는 브라우저 내 파일 다운로드 시 한번 더 확인하는 창을 띄워 악의적인 서버 접근 시 자동으로 악성파일이 다운로드 되는 것을 막는다.
- QR코드 스캔 후 접근 시 데이터 입력이 필요한 경우 사이트의 URL이 믿을만한 주소인지 확인한다.
- 공식 스토어를 통한 앱 다운로드와 단말기 내 백신 앱 설치 및 업데이트를 한다.
