코로나19 확산세가 시작되면서 비대면 서비스 수요가 증가하면서 모바일 결제, 음식점 메뉴 혹은 정보 스캔, 광고, 다중 이용 시설 전자 출입 명부까지 QR 코드 사용이 보편화됐다.
그러나 해외 테크·금융 전문 매체 더스트리트는 사이버 범죄 세력이 QR 코드를 개인 정보, 현금 탈취 수단으로 악용할 위험성이 커진 사실에 주목했다.
캘리포니아주 디지털 IT 및 보안 운영 기업 네텐리치(Netenrich) 수석 위협 대응 전문가 존 밤베넥(John Bambenek)은 매체 인터뷰를 통해 “해커 세력은 소비자가 신뢰하는 수단 무엇이든 현금 탈취 공격에 악용할 수 있다”라며, QR 코드의 보안 문제를 언급했다.
샌프란시스코 보안 서비스 공급사 룩아웃(Lookout) 소속 보안 솔루션 최고 관리자인 한스 쉬레스(Hank Schless)도 밤베넥의 말에 동의하며, “QR 코드 활용이 보편화된 데다가 손쉽게 조작할 수 있다. 이 때문에 사이버 범죄 세력이 QR 코드에 멀웨어가 포함된 악성 링크를 연결하고는 신용카드 정보를 비롯한 각종 개인 데이터를 즉시 탈취할 수 있다”라고 설명했다.
QR 코드 스캔이 위험한 일이 아니라는 대다수 소비자의 생각과는 전혀 다른 사실이다. 그러나 QR 코드는 사이버 범죄 세력이 간편하게 조작할 수 있는 데다가 대중의 신뢰 때문에 공격 성공률이 매우 높다.
보통 사이버 범죄자는 스캠 웹사이트에서 진짜와 같은 QR 코드를 생성하고, 이를 스티커로 프린트한다. 그리고 QR 코드 스티커를 공공장소에 부착하는 사례를 종종 발견할 수 있다.
쉬레스는 사이버 범죄 세력은 QR 코드가 악성 링크를 유포할 가장 유용한 수단임을 이미 파악했다는 사실을 강조했다.
그는 “QR 코드로 개인 정보를 탈취한 뒤 즉시 개인 신용 정보나 기업 데이터 등도 손에 넣을 수 있다는 점에서 2차 피해 발생 위험성도 높다. 따라서 QR 코드로 스캔하는 링크로 연결하기 전, 링크 확인은 필수이다”라며, “QR 코드를 이메일 스캠, 소셜 엔지니어링 등 다른 피싱 수법과 같은 공격 수단으로 인지할 것을 강력히 권고한다”라며, 주의를 당부했다.
미국 연방수사국(FBI)도 QR 코드 보안 위험성을 경고했다. FBI는 지난 1월, QR 코드를 이용해 데이터를 탈취하면서 멀웨어 유포 후 금전 갈취한 사례를 언급하며, 피해 발생 후 탈취 금액을 다시 받기 어려울 수도 있다고 경고했다.
또, FBI는 결제 실패 안내와 함께 QR 코드를 이용해야만 결제 완료가 가능하다며, QR 코드 스캔을 유도한 스캠 피해 사례도 전했다.
이어, FBI는 피해 예방 방법으로 특정 앱에 접속한 상태에서 QR 코드 다운로드를 피하고, 앱스토어를 활용하도록 안내했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
