모바일 디바이스는 우리가 어디를 가든지 가지고 다니며 거의 모든 용도로 사용할 수 있습니다. 기업의 경우 모바일 디바이스의 접근성 덕분에 새로운 제품과 서비스를 소개하는 대화형 방식을 더 쉽게 만드는 동시에 다양한 산업 분야에서 사용자 경험을 개선할 수 있게 되었습니다. QR(빠른 응답) 코드는 모바일 디바이스에서 이미지를 스캔하기만 하면 웹 페이지로 빠르게 이동하거나 새 소프트웨어를 설치할 수 있는 좋은 예입니다.
하지만 합법적인 조직만이 편의를 위해 QR 코드를 생성하는 것은 아닙니다. 사이버 범죄자들도 QR 코드와 근거리 기술(NFC)에 대한 의존 증가를 활용하여 의심하지 않는 피해자에게 정교한 공격을 감행하고 있습니다.
연방거래위원회(FTC)는 사기꾼이 합법적으로 보이는 QR 코드를 사용하여 사용자를 악성 웹사이트 및 애플리케이션으로 연결해서 다양한 사이버 공격을 감행하는 새로운 피싱 수법이 증가 추세를 보인다고 보고했습니다. '퀴싱(quishing)'이라고 하는 이러한 수법은 생성된 코드가 소매 제품, 비즈니스 건물, 잡지나 우편물과 같은 브랜드 마케팅 위치와 같이 신뢰할 수 있는 곳에 게시될 때 특히 매우 효과적일 수 있습니다.
퀴싱 공격이 효과적인 이유는 사용자 편의성, 코드 생성의 용이성, 익명성 등으로 인한 QR코드 스캔의 충동성과 관련이 있습니다.
누구나 무료로 제공되는 다양한 도구를 사용하여 온라인으로 QR 코드를 만들 수 있습니다. 모든 QR 코드는 디자인이 비슷해 보이기 때문에 스캔하기 전까지는 어떤 QR코드가 디바이스에 프롬프트되어 어떤 작업을 수행하게 될지 알 수 없습니다.
사이버 범죄자는 일반적으로 악성 웹사이트로 리디렉션하는 코드를 생성하여 멀웨어 스크립트 설치를 시도하거나 나중에 사용할 수 있도록 디바이스에 대한 추가 권한을 요청할 수 있습니다. 그런 다음 이러한 코드를 인쇄하여 합법적인 QR코드 위에 직접 붙여넣어 신뢰할 수 있는 출처에서 나온 것처럼 보이게 만들 수 있습니다.
많은 사람들이 이러한 QR 코드 스캔에 대해 두 번 생각하지 않으며, 애플리케이션에 더 쉽게 액세스할 수 있도록 디바이스에 표시되는 프롬프트를 수락하는 경우가 많습니다.
QR코드가 처음 등장했을 때만 해도 QR코드가 무엇인지, 어떻게 사용하는지 아는 사람은 많지 않았습니다. 하지만 대부분의 최신 모바일 디바이스가 NFC 기술을 사용할 수 있고 데이터를 송수신할 수 있게 되면서 간편한 광고와 사용자 편의를 위한 인기 매체로 자리 잡기 시작했습니다.
오늘날 QR 코드는 다양한 개인이 일반적으로 사용하고 있으며 사이버 범죄자들은 퀴싱을 사용하여 취약한 개인을 표적으로 삼았습니다. 여기에는 다음이 포함됩니다.
레스토랑이나 커피숍과 같이 많은 사람이 방문하는 공공 시설은 퀴싱 피해자가 많이 발생하는 주된 표적입니다. 이러한 위험 중 다수는 코로나19 기간 동안 실물 메뉴를 사용하거나 결제할 때 불필요한 접촉을 피하기 위한 방법으로 QR 코드에 대한 의존이 급증하면서 더욱 명백해졌습니다.
QR 코드 사용 추세가 계속됨에 따라 퀴싱의 위험은 수년에 걸쳐 증가했습니다. 개인과 기업은 피해를 입지 않도록 적절한 예방 조치를 취해야 합니다.
FTC는 조직이 퀴싱 사기로부터 스스로를 보호하기 위해 준수할 수 있는 다양한 전략을 제공했습니다. 이러한 전략은 다음과 같습니다.
스캔하기 전에 생각하기: QR 코드는 편리하고 사용하기 쉽지만 숨겨진 위험을 초래할 수 있다는 점을 인식하는 것이 중요합니다. 새 코드를 스캔하기 전에 평판이 좋은 출처의 코드만 스캔하고 있는지 확인하세요. 특히 QR 코드가 제대로 작동하려면 모바일 디바이스의 특정 권한에 액세스해야 하는 경우 더욱 그렇습니다.
물리적인 변조 징후 확인: 공공 장소에서 QR 코드를 사용할 때는 물리적인 변조 징후가 있는지 확인해야 합니다. 모든 QR 스티커를 악의적인 것으로 간주할 필요는 없지만, 픽셀이 깨지거나 정렬이 맞지 않는지 주의 깊게 살펴봐야 합니다. 의심스러워 보이면 스캔하지 마세요.
URL을 사용하기 전에 조사: 대부분의 모바일 장치에는 사이트 탐색에 동의하기 전에 시도된 URL 리디렉션을 조사할 수 있는 보안 프로토콜이 있습니다. 스캔한 QR 코드가 올바른 사이트 또는 애플리케이션으로 연결되는지 확인하세요.
원치 않는 QR 요청에 주의: 합법적으로 보이는 웹사이트에서 QR 코드 스캔을 요청하는 원치 않는 이메일을 받은 경우 신중하게 처리해야 합니다. QR 코드가 어떤 용도로 사용되는지에 대한 정보가 거의 없는 상태에서 QR 코드를 스캔하라는 메시지는 위험 신호입니다. 합법적인지 확실하지 않은 경우, 해당 업체에 문의하거나 리디렉션 링크를 사용하지 말고 해당 웹사이트로 직접 이동하세요.
사용하지 않을 때는 NFC를 끈 상태로 유지: 경험상 사용하지 않을 때는 NFC를 끄는 것이 좋습니다. 이렇게 하면 사용자의 동의 없이 디바이스 간에 데이터를 공유하는 것을 방지할 수 있으며, 신중하게 고려하지 않고 공개 QR 코드를 스캔할 때 지나치게 충동적으로 스캔하는 것을 방지할 수 있습니다.
QR 코드를 사용하면 애플리케이션을 편리하게 설치하고 다양한 브랜드 및 서비스에 대한 자세한 정보를 얻을 수 있습니다. 하지만 QR코드 스캔의 편리함 때문에 개인 정보 보호에 대한 올바른 판단을 흐리지 않는 것이 중요합니다.
경각심을 갖고 앞서 설명한 가이드라인을 준수하면 여러분과 여러분의 비즈니스가 보이스피싱 사기로부터 더 잘 보호받을 수 있습니다.