퀴싱 공격이란 무엇인가요? 이 익스플로잇은 어떻게 작동하며, 표적이 되지 않으려면 어떻게 해야 할까요? 퀴싱이 어떻게 디바이스와 데이터를 위험에 빠뜨리는지 알아보세요.

퀴싱이란 무엇인가요?

QR코드 피싱이라고도 하는 퀴싱은 잠재적 표적을 속이기 위한 수단으로 QR 코드를 활용합니다. 이 방법론은 기밀 데이터를 획득하거나 악성 소프트웨어로 기기를 감염시키거나 사용자를 유해한 웹사이트로 유도한다는 점에서 다른 형태의 피싱 전술과 일치합니다.

특히 최근 글로벌 보건 위기로 인해 사용자들이 일상 생활의 일부로 QR 코드를 받아들이게 되면서 악의적인 공격이 더욱 기승을 부리고 있습니다.

퀴싱은 어떻게 작동하나요?

처음에 사이버 범죄자들은 기만적으로 보이는 QR 코드를 생성하여 피싱 공격을 고안합니다. 다양한 인터넷 리소스를 활용하면 Android 운영 체제에서 실행되는 모바일 장치를 포함하여 이러한 코드를 간단하게 생성할 수 있습니다.

QR 코드는 사용자를 다양한 온라인 목적지로 안내하는 도구로 점점 인기를 얻고 있지만, 사이버 범죄자들이 의심하지 않는 개인을 사기성 웹사이트로 유도하거나 기기를 유해한 바이러스에 감염시키는 데 활용할 수 있기 때문에 심각한 보안 위험을 초래하기도 합니다. 이러한 범죄자들은 쇼핑 센터, 야외 모임, 교통 중심지 등 사람들이 많이 모이는 장소에 이러한 사기성 QR 코드를 전략적으로 배치하여 사람들이 자신도 모르게 피싱 사기의 희생양이 될 가능성을 극대화합니다. 따라서 공공장소에서 QR 코드를 접할 때는 주의를 기울이고, 개인정보를 입력하거나 파일을 다운로드하기 전에 웹사이트의 적법성을 확인하는 것이 중요합니다.

퀴싱은 어떤 영향을 미칠 수 있나요?

사이버 범죄자들이 QR 코드를 사기 수법에 사용하기 때문에 의심하지 않는 개인은 너무 늦을 때까지 이를 인지하지 못한 채 ‘퀴싱’ 공격의 희생양이 될 수 있습니다. 따라서 이러한 공격이 개인 정보 및 보안에 미칠 수 있는 잠재적 결과를 이해하는 것이 중요합니다.

피싱 웹사이트로 리디렉션될 수 있음

전화번호, 이메일 주소, 신용카드 정보 등 민감한 정보를 공개하도록 강요하기 위해 사기성 QR 코드를 통해 유사하게 보이는 웹사이트로 연결될 수 있음을 알려드립니다.

이 글도 확인해 보세요:  웹 추적과 사용자 추적: 차이점은 무엇인가요?

바이러스 공격일 수 있음

QR 코드는 바이러스, 랜섬웨어 또는 트로이 목마 바이러스와 같은 유해한 콘텐츠를 포함할 가능성이 있으며, 설치 시 심각한 피해를 유발할 수 있습니다.이러한 악성 프로그램은 스캔 시 사용자의 기기에 자동으로 다운로드 및 설치되도록 설계되어 해커가 민감한 데이터에 무단으로 액세스하거나 사용자 모르게 개인의 온라인 활동을 모니터링할 수 있습니다.

소셜 미디어 계정을 제어할 수 있음

악성 소프트웨어로 디바이스를 감염시키는 것 외에도 QR 코드를 스캔하면 소셜 미디어 계정을 제어할 수 없게 될 수 있습니다. 이는 스캔을 통해 계정을 사용하여 이메일을 보내거나 Instagram 및 WhatsApp과 같은 메시징 서비스를 통해 통신하는 프로그램이 설치될 때 발생할 수 있습니다.

퀴싱 공격을 방지하는 방법

QR코드 스캔을 완전히 자제하는 것은 과도한 조치일 수 있습니다. 그럼에도 불구하고 특정 예방 조치를 취하면 합법적으로 보이는 메시지를 제시하여 개인이 모르는 사이에 악성 소프트웨어를 다운로드하거나 민감한 정보를 넘기도록 속이는 ‘퀴싱’의 위험을 방지하는 데 도움이 될 수 있습니다.

URL 미리보기

QR코드에 인코딩된 의도한 위치에 도달하기 전에 먼저 연결된 웹사이트의 미리보기가 장치에 표시됩니다. 그러나 URL이 압축되어 최종 목적지가 명확하게 표시되지 않는 경우, 잠재적인 보안 위험을 초래하거나 의도하지 않은 결과를 초래할 수 있으므로 클릭하지 않는 것이 좋습니다.

또한 웹사이트가 HTTP가 아닌 HTTPS 프로토콜을 사용하여 강력한 보안 수단을 사용하는지 확인하는 것이 중요합니다. 이렇게 하면 컴퓨터와 웹사이트 간에 교환되는 모든 정보가 암호화되어 잠재적인 사이버 위협으로부터 보호됩니다.

QR코드 목적지 확인

실제로 해당 도메인을 이전에 정독한 적이 있는 경우, 해당 URL(유니폼 리소스 로케이터)을 조사하면 통찰력을 얻을 수 있습니다. 앞서 언급한 매개변수, 즉 오타, 부적절한 언어 사용, 그래픽적으로 결함이 있는 시각적 요소 등이 있는 경우 해당 웹사이트는 민감한 정보를 노린 사기에 해당할 가능성이 높습니다. 또한 사이트의 콘텐츠가 사용자의 긴박감을 불러일으키거나 급박한 행동을 요구하는 경우 해당 웹페이지를 더 이상 탐색하지 않는 것이 현명합니다.

이 글도 확인해 보세요:  보안 등급이란 무엇이며 왜 필요한가요?

내장 QR 스캐너 사용

급할 때는 타사 애플리케이션을 사용하여 QR 코드를 스캔하거나 온라인 대안을 찾을 수 있습니다. 이러한 솔루션은 편리할 수 있지만, 악의적인 공격자가 ‘퀴싱’ 공격을 실행할 때 악용될 수 있는 잠재적 취약점을 내포하고 있습니다.이러한 위험을 줄이려면 스마트폰 카메라 애플리케이션에 내장된 QR코드 리더를 사용하는 것이 좋습니다.

퀴싱 설명

다른 형태의 피싱이 개인과 조직 모두에게 상당한 위험을 초래하는 것과 마찬가지로 퀴싱 역시 상당한 위험을 초래합니다. 이러한 공격의 여파는 며칠 또는 몇 주 동안 당황하게 만들 수 있으며, 낯선 QR 코드를 접할 때 주의를 기울이는 것이 중요하다는 점을 강조합니다.

By 박준영

업계에서 7년간 경력을 쌓은 숙련된 iOS 개발자인 박준영님은 원활하고 매끄러운 사용자 경험을 만드는 데 전념하고 있습니다. 애플(Apple) 생태계에 능숙한 준영님은 획기적인 솔루션을 통해 지속적으로 기술 혁신의 한계를 뛰어넘고 있습니다. 소프트웨어 엔지니어링에 대한 탄탄한 지식과 세심한 접근 방식은 독자에게 실용적이면서도 세련된 콘텐츠를 제공하는 데 기여합니다.