큐싱 예방법 – QR코드 확인법 KISA 보호나라 사용방법 안내

---

최근 식당 주문, 킥보드 대여, 심지어 공공기관 안내문까지 QR코드가 없는 곳이 없습니다. 하지만 편리함 뒤에 숨겨진 치명적인 위험, ‘큐싱(Qshing)’에 대해 들어보셨나요? 최근 FBI의 경고는 물론, 북한 해킹 그룹 ‘킴수키(Kimsuky)’까지 이 수법을 사용하고 있다는 사실이 밝혀졌습니다. 오늘은 노말틱 님의 유튜브 영상을 바탕으로 큐싱의 위험성과 큐싱 예방법을 상세히 정리해 드립니다.

---

큐싱(Qshing)이란 무엇인가?

큐싱은 QR코드와 피싱(Phishing)의 합성어입니다. 해커가 악성 코드가 심어진 QR코드를 유포하여, 사용자가 이를 스캔하면 악성 앱을 설치하게 하거나 가짜 사이트로 유도해 개인정보를 탈취하는 수법입니다.

---

왜 위험한가? (보안의 사각지대)

• 심리적 무장 해제: 사람들은 수상한 링크는 클릭하지 않지만, 스마트폰 카메라를 들어 직접 행동하는 QR 스캔에는 경계심을 덜 갖는 경향이 있습니다.
• 보안 솔루션 우회: 기존 기업 보안 시스템은 ‘텍스트’ 기반의 링크를 탐지하지만, QR코드는 ‘이미지’이기 때문에 메일 서버 등의 방화벽을 쉽게 뚫고 들어옵니다.
• 2차 인증 무력화: 단순히 아이디/비번만 털리는 것이 아닙니다. 사용자가 가짜 사이트에서 2차 인증(OTP 등)을 입력하면, 해커가 이를 실시간으로 가로채 진짜 서버에 로그인하는 ‘MITM(중간자 공격)’ 기법을 사용합니다.

---

실제 피해 사례

• 가짜 주차 위반 딱지: 파주에서 차량에 가짜 QR코드가 찍힌 불법 주차 딱지를 붙여놓고, 스캔 시 악성 앱 설치 및 개인정보 입력을 유도한 사례가 있습니다.
• 덧붙이기 수법: 공유 자전거, 엘리베이터 등 공공장소의 정상적인 QR코드 위에 해커가 자신의 가짜 스티커를 덧붙여 위장합니다.

---

큐싱 예방법 및 KISA 보호나라 사용법

영상에서 강조하는 핵심 예방법은 다음과 같습니다.

• 앱 설치 금지: QR 스캔 후 연결된 페이지에서 앱 다운로드(.apk 파일 등)를 유도한다면 절대 설치하지 마세요.
• URL 확인: 로그인이 필요한 경우, 연결된 주소가 공식 도메인이 맞는지 반드시 주소창을 확인해야 합니다.
• KISA ‘보호나라’ 이용: 카카오톡에서 ‘보호나라’ 채널을 추가한 후, ‘피싱 확인 서비스’를 통해 의심스러운 QR이나 링크를 보내면 정상 여부를 판별해 줍니다.
• 해외여행 시 주의: 인도네시아 등 해외에서도 가짜 QR 사기가 기승을 부리므로 여행 시 각별한 주의가 필요합니다.

(1) 카카오톡 친구탭에서 검색을 클릭합니다.
(2) 검색창에 보호나라를 검색하고, 채널추가를 누릅니다.
(3) 채널추가를 한번 더 클릭합니다.
(4) 추가된 보호나라 대화방에 들어갑니다.
(5) 아래 메뉴의 큐싱을 클릭합니다.
(6) QR 코드 스캔을 누르고 카메라로 전환되며, 의심가는 QR 코드를 검색합니다.

---

결론

“QR코드를 스캔하는 것은 수상한 링크를 클릭하는 것과 똑같다”는 점을 명심해야 합니다. 스마트폰은 기업 보안 시스템의 보호를 받지 못하는 경우가 많으므로 개개인의 주의가 필수적입니다. 만약 큐싱 피해가 의심된다면 즉시 스마트폰을 초기화하거나 공인인증서를 폐기하고 비밀번호를 변경하시기 바랍니다.

---

이외에도 유용한 정보를 보고 싶으시다면