전 세계 주요 은행이 QR 코드를 이용한 피싱 사기가 증가하고 있다고 경고했다. 고객들이 복잡한 QR 코드 사기에 당해 자신의 금융 정보를 공유하는 피해가 발생하고 있는 것이다.
퀴싱(quishing)으로 불리는 이 새로운 형태의 사기 수법에서 범죄자들은 이메일에 첨부된 PDF 파일을 통해 QR 코드를 전송한다. 혹은 주차 요금 납부를 위해 적힌 합법적인 QR 코드 위에 위조 QR 코드 스티커를 붙이는 형태의 사기도 발생하고 있다.
휴대폰 등의 기기로 QR 코드를 스캔하면 사람들이 사기 웹사이트로 이동하게 되며 이 곳에서 범죄자들은 금융 정보를 입력하라고 요청하거나 악성 소프트웨어를 다운로드하도록 유도할 수 있다.
보안 전문가들은 파이낸셜 타임즈와의 인터뷰에서 QR 코드가 첨부파일로 전송되고 있어 기업의 사이버 보안 검열을 우회할 수 있다고 지적했다. 보안 소프트웨어 회사 소포스(Sophos)의 수석 고문 체스터 위즈뉴스키(Chester Wisniewski)는 “범죄자 입장에서 (QR코드가) 매력적인 것은 모든 사이버 보안 절차를 우회하고 우리의 제품도 우회한다는 데 있다.”라고 말했다.
QR 코드 스캠, 더 큰 공격의 일부일 가능성
실제로 얼마나 많은 피해자가 발생했는지는 은행에서 추정하기 쉽지 않아 아직 밝혀지지 않았다. 또한 이메일은 더욱 광범위한 사이버 공격의 일부에 불과할 수 있다.
산탄데르(Santander), HSBC, TSB 등의 주요 은행은 영국 국가 사이버보안 센터, 미국 연방거래위원회와 함께 퀴싱 범죄의 증가에 대한 우려를 표했다.
사이버 보안 컨설팅 업체 시그니아(Sygnia) 연구 책임자 아미르 사던(Amir Sadon)는 “이러한 공격은 QR 코드가 시각적으로 해석이 어려운 점을 악용한다. 따라서 피해자들이 실제로 피해가 발생하기 전에 그들이 어디로 이동하는지 알기 어렵다.”라고 문제를 설명했다.
보안 소프트웨어 회사 맥아피(McAfee)가 5월에 수행한 설문 조사 결과, 영국에서 발생한 모든 온라인 사기 사건의 20% 이상이 QR 코드에서 유래했다. 위즈뉴스키는 파이낸셜 타임즈에 “오늘날 대부분의 사이버보안 도구는 첨부파일을 검토하지 않는다.”라고 말하며 다음과 같이 덧붙였다:
“문제가 지속된다면 (보안) 산업도 변해야 할 것이다. 하지만 이 경우 이메일의 전송이 느려지고 모든 절차가 더욱 비싸질 것이다.”
이미지 출처: 이디오그램