"QR코드, 公式 앱 使用해도 피싱 注意해야"

[IT東亞 정연호 記者] 코로나19 팬데믹 以後로 크게 流行한 것 中 하나가 QR코드다. 國內에선 政府가 빠른 疫學調査를 위해 QR코드를 基盤으로 한 電子出入名簿 시스템을 導入하면서, QR코드를 쓰는 사람들도 急速度로 늘었다.

QR코드는 ‘Quick Response(빠른 應答)’의 略字로, 1994年 日本의 덴素砂 (Denso)가 開發한 2次元 바코드다. 旣存의 바코드가 가로 配列에 最大 20餘 者 數字 情報만 넣는 1次元的 構成이라면, QR코드는 가로 세로를 活用해 旣存 바코드 보다 數十~數百 倍는 더 많은 情報를 記錄할 수 있는 2次元的 構成이다. 特定 商品名이나 製造社 情報만 記錄할 수 있던 旣存 1次元 바코드의 情報量 制限을 解決할 수 있다는 長點이 있다. QR코드에는 긴 文章의 인터넷 住所(URL)나 寫眞 및 動映像 情報, 地圖 情報, 名銜 情報 等을 모두 담을 수 있다.

스마트폰이나 태블릿 PC 等의 QR코드 認識 앱으로 QR코드를 스캔해 特定 사이트에 接續하거나, 電子出入名簿 方式처럼 自身의 個人 情報를 入力할 수 있고, 쇼핑과 決濟 過程에서 QR코드를 認識하면 注文과 決濟도 한 番에 끝낼 수 있다. 最近엔 서울의 共有 自轉車도 QR코드로 貸與하고 返納할 수 있게 됐다.

市場調査 業體 주니퍼 리서치는 QR 코드 決濟가 全 世界로 빠르게 擴散되고 있으며, QR코드 決濟 유저가 2020年 15億 名에서 2025年 22億 名에 이를 것으로 豫測했다. 코로나19 大流行 以後로 世界 各國의 政府는 非接觸式 決濟를 積極的으로 奬勵했고, QR코드 等의 非接觸式 決濟는 便하기 때문에 많은 사람들이 빠르게 받아들이는 趨勢다.

韓國핀테크産業協會의 ‘世界 全域에서 擴散하는 QR 코드 決濟’에 따르면, QR決濟는 中國을 包含한 많은 經濟圈에서 빠르게 成長하고 있다. 印度는 國民의 40%假量이 QR코드 솔루션을 支援하는 統合決濟 인터페이스(Unified Payment Interface, UPI)와 ‘바라트QR(Bharat QR) 코드’ 決濟 方式을 使用할 程度로 QR 코드 決濟의 主要 活用 國家다. 싱가포르는 2018年 9月 標準 QR 코드 인프라스트럭처를 선보이며 높은 水準의 活用을 이끌고 있다. ‘싱가포르 QR 코드(SGQR)’는 16萬 곳 以上의 加盟店에서 採擇했다.

美國에선 小賣 市場에서 QR코드 決濟가 增加하고 있다. 2015年에 出市된 월마트 페이(Walmart Pay)는 月 利用者 數가 2200萬 名을 上廻한다. 英國에선 QR코드가 注文 및 決濟 프로세스와 結合해 消費者 經驗을 높이고 있다. 체인 레스토랑인 瓦家媽媽(Wagamama)가 2018年 마스터카드와 協力해 내놓은 ‘Qkr!플랫폼(Qrk!Platform)’은 코로나19의 大流行 동안 小賣店이 다시 門을 열기 始作한 2020年부터 큰 成功을 거두었다.

報告書는 “QR 코드 決濟를 利用한 全 世界의 支出 金額은 2022年 2兆 4,000億 달러(藥 3,094兆 원)에서 25% 成長해 2025年에는 3兆 달러(藥 3,867兆 원)를 넘어설 것으로 展望된다. 主된 成長 背景은 開發途上國에서의 金融包容 向上과 先進國에서의 旣存 決濟 方法에 對한 代案으로 關心이 增加하는 것을 꼽을 수 있다”고 分析했다.

다만, QR코드는 누구나 자유롭게 製作하고 使用할 수 있는 만큼 危險 要素도 潛在한 技術이다. QR코드는 컴퓨터/인터넷 惡性코드나 遺骸 웹사이트 住所 等도 傳播할 수 있다. 肉眼으로는 正常的인 QR코드인지 判斷할 수 없기 때문에, 檢證된 企業이나 機關에서 提供하는 QR코드가 아니라면 避하는 것이 좋다. 實際로 利用者에게 正常的인 홈페이지라고 속인 다음 그들이 重要한 個人 情報를 入力하도록 해 情報를 奪取하는 事例가 發生하고 있다. QR코드를 스캔하면 無料 쿠폰을 주겠다면서 미끼를 던져 惡性코드를 設置하게 만드는 境遇도 있다.

江南大學校의 양형규 敎授는 ‘QR 코드의 保安 脆弱點과 對應 方案 硏究’에서 “오프라인 印刷 媒體는 勿論이고 온라인 사이트에서도 QR 코드를 利用하고 있는데, 이러한 QR 코드가 해킹 等으로 인해 다른 QR 코드로 變調될 境遇 變造 與否를 쉽게 確認할 수 없다. 피싱 메일의 境遇처럼 全혀 다른 사이트로 連結됨에도 不拘하고 이를 把握하기 쉽지 않은 問題가 있다. 오프라인 出力물人 境遇 變造된 QR 코드를 덧붙이기만 하면 되기 때문에 더욱더 손쉽게 攻擊의 對象이 될 수 있다”고 警告했다.

金融監督院이 發表한 被害 事例를 보면 正常的인 앱을 使用하는 過程에서 QR코드로 피싱을 當한 被害者도 있다. 被害者는 스마트뱅킹으로 資金을 移替하던 中 追加引證 QR코드의 指示대로 앱을 設置했지만, 保安카드를 비추라는 要求를 받고 金融事故를 疑心해 行動을 멈췄다. 하지만, 通信社에 確認해보니 게임머니 等으로 少額決濟가 處理됐단 걸 알게 됐다. 스마트폰을 惡性코드로 感染시켜 使用者가 頂上 金融 사이트에 接續하더라도 假짜 金融사이트에 連結되게 하고, 假짜 金融사이트에서 追加認證이 必要한 것처럼 QR코드를 보여주며 惡性 앱을 設置하도록 誘導한 것이다.

專門家들은 QR코드로 因한 被害를 막기 爲해선 어디서 보냈는지 出處가 確實하지 않은 QR코드는 스캔하지 않는 것이 좋으며, 公式 앱마켓에서도 危險한 앱이 流布될 수 있기 때문에 앱을 다운 받기 前 使用者 리뷰를 確認하는 것이 좋다고 말한다.

保安企業 안랩은 “惡性 앱은 文字 메시지에 包含된 URL, QR코드, SNS, 社說 앱 마켓 等을 통해 頂上 앱을 詐稱해 流布된다. 따라서 使用者는 公式 마켓 外에 出處가 不分明한 곳에서 다운로드받지 않도록 注意하고, (스마트폰 앱 다운로드 設定에서) ‘알 수 없는 出處(소스)’의 許容 禁止로 設定해야 한다. 公式 마켓에서도 惡性 앱이 流布되는 境遇가 있기 때문에 다운로드 前에는 評判 情報를 確認하는 것이 좋다. 또한, 모바일 專用 保安 앱이나 스미싱 探知 앱을 設置하고 最新 버전을 維持하는 것이 重要하다”고 勸했다.

保安企業 이스트시큐리티는 “公共場所나 保安性이 檢證되지 않는 空間 및 사이트에서 提供하는 QR코드는 愼重하게 確認한 뒤 스캔하고, 이메일의 境遇엔 大部分 QR코드 認證을 要求하지 않기 때문에 이메일로 傳達된 QR코드는 可及的 接續하지 말아야 한다. QR코드 피싱으로 個人情報가 露出됐다면 同一한 祕密番號를 使用하지 않는 게 좋다. 자주 利用하는 사이트마다 祕密番號를 다르게 設定할 것”을 勸했다

글 / IT東亞 정연호 (hoho@itdonga.com)