큐싱(Qshing)

큐싱(Qshing)이란?

큐싱(Qshing)은 QR 코드(Quick Response Code)와 피싱(Phishing)의 합성어로, QR 코드를 악용하여 개인정보를 탈취하는 사이버 공격 기법을 의미한다. 최근 모바일 결제, 로그인 인증, 웹사이트 접속 등에 QR 코드가 널리 사용되면서, 이를 악용한 공격 사례가 급증하고 있다. 

큐싱의 동작 방식

큐싱 공격자는QR 코드를 조작하여 악성 웹사이트로 연결되도록 유도한다. 사용자는 정상적인 QR 코드로 오인하여 이를 스캔하고, 로그인 정보를 입력하거나 앱을 다운로드하면서 피해를 입게 된다.

큐싱의 주요 공격 방식

1. 가짜 웹사이트 유도: 사용자가 QR 코드를 스캔하면 피싱 사이트로 이동하여 로그인 정보를 입력하게 한다.
2. 악성 앱 다운로드 유도: QR 코드가 악성 앱 다운로드 링크로 연결되도록 조작한다.
3. QR 코드 위변조: 정상적인 QR 코드 위에 가짜 QR 코드를 덮어씌워 공격자가 원하는 사이트로 연결되도록 변경한다.
4. 공공장소에서 QR 코드 배포: 식당, 카페, 공공장소의 QR 결제 코드나 이벤트 참여 QR 코드를 교체하여 개인정보를 탈취한다.

큐싱 예방 방법

큐싱 공격은 예방이 가능하며, 아래의 보안 수칙을 따르면 피해를 최소화할 수 있다.

1. QR 코드 스캔 전 반드시 확인

• QR 코드가 공식적인 출처에서 제공된 것인지 확인
• QR 코드가 인쇄된 곳이 의심스럽다면 직접 URL을 입력

2. QR 코드 링크 확인

• QR 코드를 스캔한 후 이동하는 웹사이트의 URL을 주의 깊게 살펴본다.
• HTTPS 보안 연결이 없는 웹사이트라면 절대 로그인 정보를 입력하지 않는다.

3. 이메일 및 메시지 속 QR 코드 주의

• 이메일, 문자 메시지에 포함된 QR 코드는 신뢰할 수 있는 발신자인지 확인 후 스캔
• 의심스러운 메시지는 사내 보안팀이나 관련 기관에 신고

4. 보안 앱 백신 프로그램 사용

• 모바일 보안 솔루션을 설치하여 QR 코드 스캔 시 위험 여부를 감지할 수 있도록 설정
• 정기적으로 백신 프로그램을 업데이트하여 악성 앱 감염을 예방

QR 코드의 편리함이 증가하면서, 이를 악용한 큐싱(Qshing) 공격이 급증하는 추세이다. 사용자들은 QR 코드 스캔 시 항상 출처를 확인하고, 의심스러운 웹사이트에는 개인정보를 입력하지 않는 습관을 가져야 한다. 기업 및 기관 또한 QR 코드 보안 정책을 강화하여 고객과 직원의 개인정보를 보호해야 한다.