북한과 연계된 해킹조직이 QR코드를 악용한 신종해킹을 시도하는 정황이 포착되면서 보안당국이 주의를 촉구했다.
한국인터넷진흥원(KISA)은 최근 정부기관이나 연구기관을 사칭해 QR코드를 찍게 만들고, 이를 통해 휴대폰에 악성앱을 설치하고 개인정보를 탈취하는 '큐싱' 사례가 늘고 있다고 13일 밝혔다.
큐싱은 QR코드를 찍는 순간 해킹으로 이어지는 신종 피싱이다. QR코드 안에 악성앱 설치 주소나 가짜 로그인 화면으로 연결되는 링크를 숨기고, 이를 통해 개인정보를 빼내는 수법이다. 주로 이메일이나 문자메시지에 QR코드를 담아 직접 촬영하도록 유도하는 식이다. 특히 악성앱이 설치될 경우 단말기 이름과 고유식별번호(IMEI), 주고 받은 문자와 사진 등 휴대폰에 저장된 정보까지 유출될 수 있다.
KISA가 확인한 사례를 보면 해킹범들은 회사나 기관의 보안관리가 미치지 않는 개인 스마트폰을 주 표적으로 삼고 있다. 이들은 국내외 연구기관 직원인 것처럼 메시지를 보내고, 연구를 위한 설문조사를 핑계로 QR코드 접속을 유도했다.
보안업계에서도 유사 사례가 잇따라 보고되고 있다. 지난해 12월 엔키화이트햇은 북한 해킹조직 '김수키'가 배송조회를 사칭해 QR코드로 악성앱 설치를 유도한 정황을 포착했다고 공개한 바 있다. 국가정보원은 지난해 북한 해킹조직이 방산, IT, 보건 분야 등 각종 산업기술과 2조2000억원에 달하는 금전을 훔쳤는데 큐싱과 같은 신종 수법을 구사한 사실을 확인했다고 전했다.
국내뿐만 아니라 해외에서도 큐싱 관련 경고가 나오고 있다. 미국 연방수사국(FBI)은 지난 8일(현지시간) 사이버정보 안내문을 통해 김수키가 정부기관, 싱크탱크, 학계, 기업 인사를 겨냥한 큐싱 공격을 늘리고 있다고 경고했다. 실제로 지난해 5월 미국의 한 싱크탱크 대표에게 한반도 정세에 대한 의견을 구하는 외국 자문가를 가장한 피싱 이메일이 발송는데, 해당 이메일에는 설문지 접근을 명목으로 스캔을 유도하는 악성 QR코드가 포함돼 있었다.
KISA는 출처가 불분명한 이메일이나 문자 메시지에 포함된 QR코드를 찍지 말 것을 당부하고, 의심스러운 경우 '보호나라' 카카오톡 채널의 '큐싱 확인 서비스'를 통해 악성 여부를 확인하고 신고할 수 있다고 안내했다. 만약 이미 악성앱 감염이 의심된다면 모바일 백신 점검과 인증서 재발급, 모바일 결제내역 확인 등 추가 피해를 막기 위한 조치를 서둘러야 한다고 강조했다.
Copyright @ NEWSTREE All rights reserved.
