‘OO빌딩 입주사 만족도 조사에 참여해 주세요.’

임직원 중 몇몇은 안내문 속 QR 코드를 아무 의심 없이 스캔했고, 문항에 응답했습니다. 그러나 이내 등장한 마지막 화면에 당혹감을 감추지 못했죠.

파수가 임직원들의 경각심을 높이기 위해 진행한 큐싱 모의훈련 화면

 

얼마 전, 파수에서 실제로 실시한 큐싱 모의훈련 이야기입니다. 모든 임직원이 하루에도 수차례 이용하는 엘리베이터 옆에 만족도 조사 안내문을 부착하고 테스트를 진행했는데요. 아직 근본적인 해결 방법이 마련되지 않은 수법인 만큼, 직접적인 경험을 통해 경각심을 높이는 것이 목적이었습니다.

큐싱 (Quishing)은 QR 코드와 피싱 (Phishing)의 합성어로, QR 코드를 통해 사용자의 정보를 탈취하는 신종 사이버 공격 수법입니다. QR 코드는 식당 주문, 간편 결제, 제품 사용 설명서 등 일상 깊숙이 자리 잡고 있어 많은 사람이 별다른 의심 없이 스캔하곤 하는데요. 큐싱 공격은 바로 이 점을 악용합니다. 사용자가 QR 코드를 스캔하면 악성 앱 설치, 피싱 사이트 접속 등을 유도하고, 이를 통해 개인정보와 자산을 탈취하는 방식이죠.

큐싱은 QR 코드가 스캔되는 즉시 피싱 페이지로 이동하기 때문에 방어하기가 사실상 어렵습니다. 최근 전체 보안 피해 중 큐싱이 약 17%를 차지하며, 디지털 환경에 익숙한 2030세대에서도 피해 사례가 급증하고 있는데요. 큐싱 공격에 대비하기 위해서는 예방 수칙을 숙지하고, 피해가 의심되면 즉시 대처하는 자세가 필요합니다.

 

큐싱 예방 수칙

  • 공공장소에 있는 QR 코드 주의: 신뢰할 수 없는 장소에서는 QR 코드는 스캔을 피해야 합니다.
  • URL 확인 습관화: QR 코드 스캔 후, 연결되는 URL이 원래 접속하려던 URL인지 확인해야 합니다. 불일치할 경우 신속히 빠져나오는 것이 안전합니다.
  • 위조된 QR 코드 스티커 주의: 기존 공식 QR 코드 위에 가짜 QR 코드 스티커를 덧붙이는 수법을 사용하기 때문에, 스캔 시 면밀하게 살펴야 합니다.
  • 개인정보 입력은 신중하게: QR 코드에 연결된 페이지에서 주민등록번호, 계좌번호, 비밀번호 등을 요구한다면, 입력하지 말고 접속을 종료하세요.
  • 모바일 백신 앱, 스미싱 탐지 앱 설치: 백신 앱은 악성 앱을 찾아주고, 스미싱 탐지 앱은 QR 코드 스캔 시 악성 여부를 확인해 줍니다.

큐싱 피해가 의심된다면, 다음 방법으로 피해 여부를 확인하고 신고하시면 됩니다. 먼저 카카오톡에 ‘보호나라’ 채널을 추가한 후, 메뉴에 있는 스미싱ᆞ큐싱 확인 서비스를 통해 큐싱 여부를 확인하고, 즉시 신고하는 방법이 있습니다. 이외에도 국번 없이 118로 전화하거나 전자통신금융사기 통합신고대응센터 (counterscam112.go.kr)에서 신고할 수 있으니, 피해가 의심된다면 이용해 보시길 권장 드립니다.

 

기업을 노리는 큐싱

더 심각한 문제는 큐싱이 기업 대상으로도 기승을 부리고 있다는 점입니다. 예를 들어, 최근 마이크로소프트를 사칭한 큐싱 메일이 유포된 사례가 있습니다. ‘비즈니스 메일 계정에 대한 인증이 만료될 예정이므로 QR 코드에 접속해 인증을 갱신하라’는 내용이었습니다. 실제 직장인이라면 매우 익숙하고, 무심코 스캔할 수밖에 없는 내용이죠. 이런 큐싱 메일에 속아넘어간다면, 기업 내부 시스템이 해커에게 노출되거나 금융 정보가 탈취될 수 있습니다.

일상 업무에도 깊게 들어와있는 QR 코드

그렇다고 QR 코드 사용을 전면 금지하기는 현실적으로 어렵습니다. 큐싱 범죄가 기승을 부리고 있다는 사실을 인지하고, 가짜 QR 코드를 스캔하기 전 의심할 수 있도록 임직원의 경각심을 높이는 게 유일한 예방법입니다. 파수 Mind-SAT은 임직원들이 보안 위협을 인식하고 대응할 수 있도록 설계된 SAT (Security Awareness Training) 서비스입니다. 지금까지 악성 메일 기반의 훈련을 통해 보안 인식을 높여왔다면, 신규 버전을 통해서는 최신 트렌드를 반영해 큐싱 모의훈련까지 지원합니다. Mind-SAT과 함께라면 정기적인 큐싱 메일 훈련을 통해 임직원의 사이버 범죄 대응 역량을 기를 수 있습니다.

​조직에서 대부분의 보안 사고는 사람의 실수로 인해 발생합니다. 빠르게 변하는 사이버 공격 수법을 제때 파악하지 못하거나, 무심결에 QR 코드를 스캔한다면 기밀정보 유출은 물론, 금전적 피해까지 발생할 수 있습니다. 피싱, 스미싱, 큐싱 등은 앞으로도 계속해서 진화하며 기업을 노릴 것입니다. 무심코 행동하기 보다 한번 더 신중하게 판단하는 임직원의 보안 의식이 어느 때보다 중요합니다. 파수는 풍부한 정보보호 컨설팅 경험과 차별화된 서비스 Mind-SAT을 기반으로 임직원의 보안 의식을 제고할 수 있도록 도와드립니다. 보안 고민이 있으시다면, 언제든 파수에 문의해 주세요!