Ⅰ. 큐싱(Qshing)이란?
QR코드(Quick Response Code)와 피싱(Phishing)의 합성어로, QR코드를 활용한 사이버 사기 수법입니다. 공격자는 악성 QR코드를 생성하여 사용자에게 스캔을 유도하고, 이를 통해 개인정보 탈취, 악성 앱 설치, 금전 요구 등 다양한 범죄를 수행합니다.
QR코드는 원래 빠르고 편리한 정보 전달 수단이지만, 그 익명성과 간편함이 악용되며 큐싱이라는 범죄로 진화하게 되었습니다. 특히 QR코드를 스캔하기 전에는 그 내용을 확인할 수 없다는 점이 큐싱의 가장 큰 위험 요소입니다.
Ⅱ. 큐싱(Qshing) 작동 방식
ⅰ. 단계별 공격 프로세스
| 단계 | 설명 |
| 1. QR코드 제작 및 배포 | SNS, 이메일, 공공장소 등에 악성 QR코드를 배포 |
| 2. 스캔 유도 | 할인·이벤트, 쿠폰 제공 등 유인 메시지로 사용자 유혹 |
| 3. 악성 앱 설치 | 스캔 즉시 악성 앱 다운로드 및 설치 유도 |
| 4. 개인정보 탈취 | 기기 감염 후 원격 조작, 데이터 탈취, 협박 등의 범죄 수행 |
ⅱ. 기술 기반 세부 수법
| 단계 | 사용 기술 | 내용 |
| 스팸 문자 발송 | 피싱 및 URL Shortening Service | QR코드를 생성하고 피해자에게 무료·할인 쿠폰 제공과 함께 악성 링크가 포함된 스팸 문자 발송 |
| QR코드 촬영 | 카메라, 영상처리 | 피해자는 스팸 문자의 내용을 확인 후 QR코드를 스캔하여 해커가 유도한 앱 설치 사이트로 이동 |
| 악성 앱 다운 및 설치 | 앱 설치 관리자 | 해커가 의도한 사이트에서 출처를 알 수 없는 앱을 다운로드 후 설치 |
| 원격 제어 | 다양한 원격 제어 도구 | 다양한 원격 제어 도구를 이용하여 피해자의 디바이스에 있는 정보 등을 유출 |
Ⅲ. 큐싱(Qshing) 피해 현황
ⅰ. 국내 동향
SK쉴더스 보고에 따르면, 2023년 국내 온라인 보안 위협 중 17%가 큐싱으로, 전년 대비 60% 이상 증가했습니다.
특히 청년층이 공유 자전거, 결제 시스템 등 일상 속 QR코드 사용에 익숙해 주된 피해자로 떠오르고 있습니다.
ⅱ. 해외 사례
McAfee 조사에 따르면 2024년 영국 온라인 사기의 20% 이상이 QR코드 관련으로, QR코드 피해는 전년 대비 2배 증가.
전 세계적으로 2023년 한 분기 동안 약 8,000건의 큐싱이 발생했고, 스캔된 QR 중 약 2%가 악성이었습니다.
Ⅳ. 큐싱(Qshing) 피해 사례
ⅰ. 국내 사례
사례 1: '저금리 대출' 안내 메일의 QR코드를 스캔한 자영업자 A씨, 악성 앱 설치 후 1,000만 원 피해.
사례 2: 은행 인증 문자로 위장한 메시지를 받은 B씨, 보안카드 사진 제출 후 소액결제로 35만 원 피해.
사례 3: 대학생 A씨, 지인인 척 접근한 가해자가 보낸 QR코드를 스캔하고 악성 앱 설치, 금전 협박 피해.
ⅱ. 해외 사례
미국: 주차장 요금 정산기에 악성 QR코드 부착. FTC(연방거래위원회) 소비자 경고 발표.
이탈리아·중국: 가짜 QR코드가 부착된 주차 딱지를 통해 개인정보 탈취 시도.
Ⅴ. 큐싱(Qshing) 주요 유형
| 구분 | 내용 |
| 공공장소 위장 | 공유 킥보드, 자전거 등에 정상 QR코드 위에 악성 코드 스티커를 부착 |
| 온라인 유포 | 1) 이메일, SNS, 광고 등을 통해 쿠폰·이벤트 사칭 2) 임금 통지서 위장, 무료 앱 배포 등 |
| 가상자산 연계 | 암호화폐 지급을 미끼로 지갑 인증 요구 → 지갑 탈취 |
Ⅵ. 큐싱(Qshing) 예방법
| 구분 | 내용 |
| 사용자가 지켜야 할 기본 수칙 | 1) 출처 불분명한 QR코드는 스캔하지 않기 2) 이메일이나 메시지로 받은 QR코드는 신중히 확인 3) 공유 자전거·전동킥보드의 QR코드 위조 여부 점검 4) 스캔 후 연결되는 URL이 정상인지 반드시 확인 5) 개인정보 입력 요구 시 즉시 종료 |
| 기술적 예방 방법 | 1) 알 수 없는 앱 설치 제한 설정 2) 모바일 백신·스미싱 차단 앱 설치 및 최신 유지 3) 주요 사이트마다 서로 다른 비밀번호 사용 |
Ⅶ. 큐싱(Qshing) 대응 방법
| 구분 | 내용 |
| 즉각적인 조치 | 1) 스마트폰을 비행기 모드로 전환해 통신 차단 2) 모바일 백신으로 악성 앱 제거 3) 앱 제거 불가 시 기기 초기화 및 복원 |
| 신고 및 상담 | 1) 경찰청 / 112 / 금융 범죄 및 피해 신고 2) 금융감독원 / 1332 / 계좌 지급정지, 상담 3) 한국인터넷진흥원(KISA) / 118 / http://www.boho.or.kr / 사이버 범죄 신고 및 상담 |
Ⅷ. 큐싱(Qshing) 대응 방법
ⅰ. KISA는 2025년 3월 ‘큐싱 확인 서비스’를 출시 (카카오톡 ‘보호나라’ 채널에서 사용 가능)
ⅱ. 서울자전거 따릉이는 악성 QR코드가 감지되면 앱에서 ‘대여 불가’ 메시지로 차단
ⅲ. 보안 QR코드 기술: 암호화 기반 위변조 방지 기술 도입이 추진 중
Ⅸ. 큐싱(Qshing) 위험성과 특징
ⅰ. 탐지 어려움: URL이 숨겨져 있어 백신 탐지가 어렵고, 눈으로는 구분 불가
ⅱ. 일상화된 습관 노림: 출입 등록, 결제, 교통수단 이용 등 QR코드 사용이 일상화
ⅲ. 저비용·대량 제작 가능: QR코드 생성·인쇄 비용이 거의 없어 악용에 용이
'어플리케이션' 카테고리의 다른 글
| 가비지 컬렉션(Garbage Collection, GC)에 대해 알아보겠습니다. (2) | 2025.07.28 |
|---|---|
| 자바 개발을 위한 SQL 매퍼 프레임워크인 MyBatis 에 대해 알아보겠습니다. (1) | 2025.07.07 |
| HTTP Flood 공격에 대해 알아보겠습니다. (0) | 2025.06.20 |
| 이메일(e-mail) 전송 흐름에 대해 알아보겠습니다. (0) | 2025.06.13 |
| 쿠키, 캐시, 세션이 무엇이고, 왜 중요한지 알아보겠습니다. (1) | 2025.06.12 |