악성 URL과 악성 QR코드의 식별비율 ( 출처 : websiteplanet )

큐싱이란

QR코드와 피싱의 합성어인 큐싱은 QR코드를 이용한 해킹을 의미합니다. 코로나 19 이후로 QR코드 활용 문화가 확산이 되면서 QR코드 사기인 큐싱 범죄가 늘고있습니다. 기존의 피싱수법들이 사용자들에게 널리 알려져 QR코드를 활용한 새로운 악성코드 유포, 개인정보 탈취 방식이 등장하였습니다. 

공격의 기본 요소는 해커가 이메일을 퍼뜨리는 공격과 다르지 않습니다. 그러나 QR코드의 경우는 시각적으로 구별하는 것이 거의 불가능 하여 정상 QR코드인지 알 수 있는 방법이 없습니다. 자료를 보면 69퍼센트의 사람들은 악성URL을 식별할 수 있었지만, 악성 QR코드는 오직 39퍼센트만이 식별할 수 있었습니다. 사실, 대부분의 사람들은 QR 코드를 통해 사기가 발생할 수 있다는 사실조차 모르고 어디를 가든지 스캔합니다. 때문에 이메일 기반의 피싱 공격보다 QR코드 기반 공격이 성공 가능성이 더 큽니다. 공격자는 정품 QR 코드를 악성 QR 코드로 교체하거나 전략적으로 악성 QR 코드를 공공 장소에 남겨 두어 이를 활용할 수 있습니다.

본문에 악성 QR 코드를 첨부한 큐싱 사례 ( 출처 : proofpoint )

피싱 메일을 이용한 큐싱 공격 과정

첫번째로 사용자에게 피싱 메일을 보냅니다. 메일의 본문에는 수신자에게 모바일 장치로 QR 코드를 스캔하라는 내용이 담겨 있습니다. 메일 수신자가 QR 코드를 스캔하여 접속하면 미리 만들어 둔 가짜 사이트로 접속이 되며, 수신자를 속여 개인정보를 입력하도록 유도합니다. 이러한 공격은 재정적 손실, 데이터 침해 및 계정 손상으로 이어지며 추가적인 공격으로 이어질 수 있습니다.

피싱 메일 안에는 악성 링크나 첨부파일이 포함되어 있지 않고 악성 QR 코드를 본문에 첨부하여 URL이 이메일에 노출되지 않습니다. 또한 QR코드가 포함되어 있다는 이유만으로 수신된 메일을 차단할 수 없기 때문에 악성 이메일 탐지를 회피할 수 있습니다. QR코드를 이용한 피싱 메일은 보호된 전자 메일 환경에서 사용자가 QR코드를 모바일 디바이스로 스캔함으로써 공격 환경을 이동합니다. 상대적으로 취약한 사용자의 모바일 디바이스환경으로 이동함으로써 공격의 성공률을 보다 높일 수 있습니다.

오프라인에서의 물리적 큐싱 공격 ( 출처 : qrcode-tiger )

오프라인에서의 물리적 큐싱 공격

오프라인에서의 물리적 큐싱 공격 ( 출처 : qrcode-tiger ) 공격자는 QR 코드의 바코드에 악성 링크를 삽입합니다. 스캔 후 링크는 세부 정보를 요청하고 공격자가 정보를 훔칠 수 있는 페이지로 연결됩니다. 물리적 영역에서 악성 QR 코드는 기업 사무실, 기업 및 정부 서비스 지점의 벽에 있는 실제 QR 코드를 대체합니다. 물리적 QR 코드 피싱은 호텔, 쇼핑몰 및 등의 환경에서도 발생할 수 있습니다. 예를 들어, 병원이나 의료 센터에 있고 누군가가 벽에 QR 스티커를 부착했다고 가정합니다. 이 경우 일반 사용자는 해커가 붙이고 간 악성 QR 코드라고 생각하지 않을 것입니다. 

이러한 형태의 소셜 엔지니어링 공격이 사람들의 개인 데이터를 훔치려는 사이버 범죄자들 사이에서 인기를 얻고 있습니다. 악성 QR 코드를 스캔한 경우 공격자가 알려진 브랜드를 가장한 정상적으로 보이는 웹사이트와 로고를 만들기 때문에 큐싱 공격을 발견하기 어려울 수 있습니다. 또한 피해자의 장치에 멀웨어를 자동으로 다운로드하도록 구성하여 공격자가 중요한 정보를 훔치거나 장치를 제어할 수 있도록 할 수 있습니다.

결론

QR코드는 이미 다양한 산업 분야에서 입증된 뛰어난 기술이지만, 이메일, SMS 및 기타 기술에 침투하는 피싱 수법과 마찬가지로 QR 코드 를 사용하여 순진한 모바일 사용자를 속이고 있습니다. 이러한 QR 코드 사기는 다음과 같은 간단한 팁을 따르면 피할 수 있습니다. 

큐싱 위협 예방 방법 

• 출처가 확실하지 않은 QR코드는 스캔하지 않는 것이 좋으며, QR코드를 스캔할 경우 웹 주소가 이상하지 않은지 한번 더 확인합니다. 

• 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고, 최신버전을 유지하는 것이 중요합니다. 

• QR코드로 들어간 사이트의 로그인, 개인 또는 금융 정보를 입력할 때에는 주의해야 합니다. 

• QR코드에서 앱을 다운받지 않습니다. 더 안전한 다운로드를 위해 휴대폰의 앱스토어를 사용합니다. 

• 아는 사람에게서 온 것으로 생각되는 QR코드를 받은 경우 해당 사람에게 연락하여 한번 더 확인합니다. 

• QR코드를 통해 결제를 완료하라는 통지를 받으면 회사 웹사이트에 전화하거나 접속하여 확인해 봅니다.