Quishing또는 QR 코드 피싱는 최근의 사이버 보안 위협 중 가장 최신의 위협입니다. 우스꽝스럽게 들리겠지만, 돈과 시간, 회사의 평판 손실을 막을 수 있으므로 이를 인지하는 것이 도움이 됩니다.

QR 코드는 메뉴판, 거리 포스터, 앱, 비즈니스 웹사이트 등 어디에나 있습니다. QR 코드는 사용자가 카메라를 사용하여 웹 링크처럼 QR 코드를 스캔하여 웹사이트로 이동할 수 있기 때문에 인기가 높습니다.

사용자에게 쉬운 것이라면 사이버 범죄자들도 쉽게 악용할 수 있습니다. 이러한 악의적인 공격자는 QR 코드를 사용하여 사용자를 의도한 웹사이트가 아닌 다른 웹사이트로 이동시켜 해커에게 사용자의 개인 정보를 노출시킵니다.

이 도움말에서는 사이버 범죄자가 QR 코드를 악용하여 피싱 공격을 실행하는 방법을 설명합니다. 일반적인 수법, 실제 사례, 예방 전략 및 사이버 보안 모범 사례에 대해 다룹니다.

주요 내용

QR 피싱(퀴싱)은 QR 코드를 악용하여 사용자를 자격 증명을 도용하거나 멀웨어를 설치하는 악성 사이트로 리디렉션합니다.
공격자는 이메일, 포스터, 웹사이트, 청구서에 악성 QR 코드를 위장하여 피해자가 이를 스캔하도록 유도합니다.
일반적인 퀴싱 사기에는 가짜 로그인 페이지, 설문조사, 사기성 주차 또는 결제 QR코드 등이 있습니다.
QR 피싱은 QR코드에 시각적 식별자가 없기 때문에 탐지하기 어렵고 모바일 보안이 취약한 경우가 많습니다.
공격을 방지하려면 사용자 인식을 확산하고, QR코드 스캔 앱을 사용하며, 다단계 인증 (MFA)을 활성화하는 것이 중요합니다.
조직은 사이버 보안 솔루션과 직원 교육을 실시하여 QR 피싱 위협을 인식하고 완화해야 합니다.

QR 피싱(퀴싱)이란 무엇인가요?

QR 피싱(퀴싱)은 해커가 QR 코드를 사용하여 사용자가 코드를 스캔할 때 사용자가 생각하는 사이트가 아닌 악성 사이트나 사기성 사이트로 리디렉션하는 것을 말합니다. 사용자가 리디렉션되는 사이트는 악의적인 사용자가 자격 증명 및 은행 정보와 같은 사용자의 정보를 훔치거나 악성 소프트웨어를 설치하여 다른 정보를 훔치는 데 사용하는 사이트입니다.

퀴싱 공격은 기존 피싱 공격보다 탐지하기가 더 어려운데, 이는 악성 콘텐츠의 QR코드 복사가 기존 URL을 스캔하는 것보다 더 복잡하기 때문입니다. 따라서 피셔보다 퀴셔를 잡기가 더 어렵습니다.

QR 피싱 공격의 작동 방식

QR 피싱의 작동 방식을 정확히 알면 이를 방지하고 고객을 안전하게 보호하는 방법을 이해하는 데 도움이 됩니다. 먼저 퀴싱에 대한 단계별 분석과 일반적인 공격 시나리오를 살펴보고 주의해야 할 사항을 알아보세요.

QR 피싱 공격의 단계별 분석

쿼싱이 정확히 어떻게 작동하는지 살펴보겠습니다.

쿼싱의 단계는 다음과 같습니다:

악성 QR 코드 생성: 해커는 원래 QR 제작자가 아닌 해커에게 이득을 주는 사기성 웹사이트로 연결되는 링크가 포함된 악성 QR 코드를 제작합니다.
이메일, 포스터, 웹사이트, 메시지 등에 삽입합니다: QR 사기범은 QR 코드를 배포하고 원본 코드 위에 덧씌우기 때문에 피해자는 사기 코드를 스캔하고 있다는 사실을 전혀 알지 못합니다.
피해자가 스캔하면 피싱 사이트 또는 멀웨어 다운로드로 리디렉션됩니다: 이 경우 피해자는 원본과 구별할 수 있는 식별 기능이 없기 때문에 QR 코드가 가짜인지 알 수 없습니다.

일반적인 쿼싱 공격 시나리오

많은 공격 시나리오는 QR 사기꾼이 QR 코드를 사용하여 피해자에게 가상의 함정을 설치하는 경우에 발생합니다.

가장 일반적인 퀴싱 공격 시나리오는 다음과 같습니다:

가짜 로그인 페이지(예: 뱅킹, 이메일 또는 회사 포털): 사기꾼은 은행이나 회사 포털 등 해커가 원하는 민감한 정보를 가진 고객이 포함된 웹사이트의 원본과 거의 동일한 로그인 페이지를 만드는 경우가 많습니다.
인센티브를 제공하는 가짜 고객 설문조사: 누구나 간단한 설문조사를 통해 쉽게 돈을 벌고 싶어하며, 사기꾼들은 이러한 욕구를 악용하여 정보를 훔칩니다. 피해자는 돈을 벌고 싶다는 욕구에 굴복하여 세부 정보를 기입하고, 해커는 합법적인 회사 대신 그 정보를 받습니다.
가짜 주차 또는 결제 영수증에 포함된 QR코드: 주차요금이나 요금 고지서를 받은 적이 있나요? 많은 사람들이 가지고 있으며, 이러한 가짜 QR 코드는 사람들이 벌금이나 심지어 징역형을 피하기 위해 청구서나 주차 벌금을 납부해야 한다고 느끼는 긴박감을 이용합니다. 이러한 급박함을 악용하여 은행 정보를 빼내 돈을 훔치는 사기꾼들이 있습니다.
비즈니스 앱의 가짜 QR코드: 기업도 QR 사기로부터 자유로울 수 없습니다. 악의적인 당사자는 합법적인 QR코드 위에 자신만의 가짜 QR 코드를 삽입할 수 있습니다. 직원 출퇴근 기록 앱 과 같은 합법적인 QR코드 위에 가짜 QR 코드를 삽입할 수 있습니다. 사기꾼은 직원의 세부 정보를 가지고 있으며 회사 데이터에 액세스할 수 있습니다.

QR 피싱이 위험한 이유

QR 피싱이 몇몇 사람들을 속이는 것 같지만 정말 그렇게 위험한가요? 짧은 대답은 '그렇다'입니다.

퀴싱은 발견하기 어렵기 때문에 피해자에게 매년 수백만 달러의 비용이 발생할 수 있습니다. 사람들은 QR 코드를 신뢰하고, 모바일 디바이스는 보안이 취약하며, 해커는 이러한 세대의 해커를 방어할 수 있는 설계 프로필이 없는 기존 이메일 보안 필터를 쉽게 통과할 수 있습니다.

전 세계 사이버 범죄로 인한 비용은 9조 2,200억 달러 에 달하며, 에스퀴싱과 같은 새로운 사이버 범죄의 등장으로 인해 이 수치는 더욱 증가할 것으로 보입니다. 현재 기업과 고객에게 막대한 비용이 발생하고 있으므로 이를 예방하기 위한 조치를 취하는 것이 중요합니다.

QR 피싱 공격의 실제 사례

퀴싱 공격에 대해 배우는 것도 중요하지만, 퀴싱 공격이 다음과 같은 비즈니스에 어떤 영향을 미쳤는지 들어보면 그 심각성이 더욱 와 닿습니다. 기업 실제 사례를 들어보면 더욱 실감이 납니다. 첫 번째 사례는 17,000달러를 잃은 한 불행한 개인입니다.

피해자가 QR 사기범에게 £13,000를 잃다

2023년 11월, 영국 뉴캐슬의 71세 할머니가 QR코드 사기의 피해자가 되어 17,000달러의 막대한 손실을 입은 안타까운 사건이 발생했습니다. $17,000. 악의적 인 당사자는 주차 표지판의 공식 코드 위에 가짜 QR 코드를 배치하여 사기를 달성했습니다.

처음에는 사기 웹사이트에 은행 정보를 입력하자 은행이 거래를 중단했기 때문에 이 여성의 돈은 안전한 것처럼 보였습니다. 안타깝게도 사기범들은 은행 직원을 사칭하여 9,500달러의 대출을 받도록 유도하는 또 다른 수법을 사용했습니다. 그런 다음 사기범은 신속하게 행동하여 은행 세부 정보를 변경하고 새 카드를 발급하고 온라인 계정을 설정했습니다.

지방 정부로부터 받은 결과는 모든 TransPennine Express 주차장에서 모든 QR 코드를 제거하는 것이었습니다.

위의 예에서 볼 수 있듯이 이러한 사고는 발생 후 수년 동안 개인에게 영향을 미칠 수 있으며, 수천 달러에 달하는 비용을 회수하는 것은 매우 어려운 일이기 때문입니다.

QR 피싱으로부터 보호하는 방법

QR 피싱 사기는 교묘하고 탐지하기 어렵습니다. 좋은 소식은? 여전히 예방할 수 있다는 것입니다.

다음 모범 사례와 기술적 보안 조치를 준수하여 QR 피싱 공격으로부터 사용자와 조직을 보호하세요:

사용자 인식 및 모범 사례

첫째, 항상 QR 코드의 출처를 확인해야 합니다. 이를 위해 특별한 앱을 사용할 수 있지만, QR 사기꾼은 교활하므로 사기꾼이 가짜 앱을 만들어 데이터에 액세스할 수도 있으므로 설치 및 사용하기 전에 QR 인증 앱이 진짜인지 확인하세요.

다음으로, 링크를 열기 전에 QR 코드를 스캔하는 앱을 사용하세요. 이 모범 사례는 어디로 가는지 확실하지 않은 경우 링크를 열지 않도록 방지합니다.

마지막으로, 출처가 의심스러운 경우 QR 코드를 스캔하지 말고 스캔하기 전에 확인하시기 바랍니다.

기술 보안 조치

조직, 특히 기업이라면 다음과 같이 대부분의 개인보다 더 많은 것을 잃을 수 있습니다. 직원 데이터, 수백만 달러, 회사 평판에 대한 돌이킬 수 없는 손상 등 대부분의 개인보다 더 많은 것을 잃을 수 있습니다.

QR 피싱 공격을 방지하려면 로그인에 MFA(다단계 인증)를 구현하세요. 이 방법은 사용자가 로그인할 때마다 사용자의 휴대폰으로 코드를 전송하여 또 다른 보안 계층으로 QR코드 사기꾼을 방지합니다.

두 번째 방법은 QR 피싱 사기를 탐지하는 기능이 있는 사이버 보안 솔루션을 사용하는 것입니다. 이 기능을 사용하면 이러한 위협으로부터 안전하게 보호할 수 있습니다.

마지막으로, 직원들이 QR 피싱 사기와 같은 소셜 엔지니어링 위협을 효율적으로 탐지하고 피할 수 있도록 이에 대한 교육을 제공하세요.

엔드노트

QR 피싱은 개인의 금전적 손실, 데이터 손상, 조직의 평판 손상을 초래할 수 있기 때문에 위험합니다.

QR 피싱 사기는 기존 피싱 사기에 비해 발견하기 어렵습니다. QR 코드는 더 복잡하고 합법적인지 스캔하기 어렵기 때문입니다. 다행히도 QR 사전 스캔 앱, 다단계 인증, 소셜 엔지니어링 위협에 대한 직원 교육과 같은 특정 조치를 통해 이러한 공격을 줄일 수 있습니다.

이러한 조치와 관행을 준수하면 대부분의 QR 피싱 위협을 피하고 직원과 자신을 금전적 손실로부터 보호할 수 있습니다.

정보
최신 게시물

아호나 루드라

도메인 및 이메일 보안 전문가 PowerDMARC

Ahona는 도메인 및 이메일 보안을 전문으로 5년 이상 사이버 보안 주제에 대해 글을 써온 경력이 있는 PowerDMARC의 마케팅 매니저입니다. Ahona는 저널리즘 및 커뮤니케이션 학위를 취득한 후 2019년부터 보안 분야에서 경력을 쌓았습니다.

아호나 루드라의 최신 포스트 (전체 보기)

QR 피싱이란 무엇인가요? QR 코드 사기를 탐지하고 예방하는 방법 - 2025년 4월 15일
nslookup, dig 또는 PowerShell을 사용하여 SPF 레코드를 확인하는 방법은 무엇인가요? - 2025년 4월 3일
Outlook에서 DMARC 적용: Microsoft의 새로운 발신자 요구 사항 설명! - 2025년 4월 3일

QR 피싱이란 무엇인가요? QR코드 사기를 감지하고 예방하는 방법