전체메뉴

[애플경제 김예지 기자] 국내에서도 새삼 ‘QR 코드 피싱’(퀴싱, quishing)이 사회문제가 되고 있다. 22일에도인터넷진흥원, 과기정통부 등 보안 당국은 가까 코드 무늬를 QR 코드에 덧씌워 악성앱을 설치, 개인정보를 도용하고 금전을 갈취하는 ‘퀴싱’ 주의보를 발령했다. 그러나 이는 이미 해외에선 랜섬웨어나 기존의 해킹, 이메일 피싱 못잖게 사이버범죄의 주요 수단이 되고 있다. 국내에서도 그 동안 없지 않았으나, QR코드가 본격적으로 생활화되면서 한층 더 그 수법이 발달하고 있다.

퀴싱은 사이버보안망을 교묘히 우회하거나, 이메일 계정을 해킹할 수도 있어 더욱 문제가 되고 있다. 이는 심지어 다중 요소 인증(MFA)을 우회하도록 설계된 활성 공격에 사용되기도 한다. 그러나 “방어 기술과 전문 지식을 적절히 조합하면 막아내거나 피해를 최소화할 수 있다”는게 보안업계 얘기다.

QR코드 대중화 악용한 최신 사이버범죄

이번에 보안당국이 주의보를 발령한 ‘퀴싱’은 특히 디지털문화에 익숙한 초중고생들도 피해를 당할 만큼 여느 사이버공격과는 그 성격이 크게 다르다. 보통의 이메일 피싱등과는 또 달리 “인간의 정신을 해킹하는 데 의존하기 때문”이란 얘기다. 수년 전부터 이에 대한 간헐적인 보고가 있었지만, 팬데믹 이후 대량으로 발생하기 시작했다.

보안업체 ‘시큐레이어’의 한 관계자는 “지난 2년간 봉쇄 기간 동안 모두 QR 코드를 사용하는데 익숙해졌다”면서 “식당 메뉴 고르기에서부터 병원 진료 등에 이르기까지 모든 것이 핸즈프리나, 위생적인 ​​방식으로 액세스하게 되었다”고 밝혔다. 그러나 “범죄자들은 불과 몇 초 만에 이메일 계정에 대한 액세스 권한을 제공할 수 있는 ‘QR 코드’를 만들어 이런 세태를 악용하게 된 것”이라고 배경을 설명했다.

‘퀴싱’은 일단 신뢰할 수 있는 출처에서 온 합법적인 이메일에 QR 코드가 내장되어 있는게 보통이다. 그러면서 ‘스캔하라’는 지침이 함께 첨부되곤 한다. 그러면 사용자는 휴대전화를 꺼내서 ‘클릭’함으로써 피싱 사이트로 이동한다. 이는 은밀한 맬웨어를 설치하거나 민감한 개인 및 금융 정보를 훔칠 수 있는 사이트일 수 있다. 그러나 보통은 기업의 자격 증명을 수집하기 위한 목적이 많다.

특히 치명적인 수법이 최근엔 횡행하고 있다. 사용자의 ‘정적(靜的) 자격 증명’을 수집할 뿐만 아니라, 표준 MFA 코드 입력 페이지를 모방한 ‘중간자 적대자’(AiTM) 공격을 통해 MFA 토큰을 캡처하는 사이트로 이동한다. 그런 다음 공격자는 MFA 토큰이 만료될 때까지 이 액세스를 재사용하곤 한다. 그 기간은 기본값인 30일로 설정된다. 앞서 ‘시큐레이어’ 관계자는 “이는 암호화하고 훔칠 민감한 데이터를 탈취하거나, 계정이나 송장 템플릿을 하이재킹해서 많은 돈을 갈취하기에 충분한 시간”이라고 했다.

익숙해진 QR코드 문화 악용, 보안망 쉽게 뚫어

‘퀴싱’은 여느 사이버공격보다 한층 수신자들에겐 자연스럽게 접근할 수 있다. 흔히 사용자의 휴대전화는 데스크톱이나 노트북 컴퓨터보다 보호가 잘 안돼 보안 시스템을 우회할 가능성이 더 크다. 방어 시스템이 의도한 대로 잘 작동하지 않을 수 있다. 또한 QR 코드는 사실상 이미지 파일이란 점도 보안이 취약한 원인이다. 이미지 파일이다보니 악성 URL을 난독화해도 기존 이메일 필터가 이를 추출, 검사할 수가 없다.

QR 코드를 사용하면 수신자가 피싱임을 감지할만한 문법적 오류나 철자 오류를 확인하기 위해 이메일을 검사할 기회도 거의 없다. 사용자가 여간 주의하지 않는 한, 긴박감을 더하는 메시지나, (속히 클릭하지 않으면) 부정적인 결과가 있을 것이라는 식의 속임수에 넘어갈 수 밖에 없다. 예를 들어 수신자에게 마이크로소프트 계정에 대한 ‘보안조치’나, 급여 세부 정보를 확인할 수 있도록 ‘인증’을 하기 위해 QR 코드를 스캔하라고 촉구하는 이메일이 그런 경우다. 이처럼 공격자들은 수신자의 생활 속 익숙한 프로세스를 악용, 손쉽게 보안망을 뚫거나 경계심을 허물어뜨린다.

또한 기업이나 조직 내의 합법적인 이메일 계정을 하이재킹, 사기 이메일을 보내는 것처럼 피싱 기술을 활용하기도 한다. 회사 웹사이트와 링크드인(LinkedIn)에서 얻은 오픈 소스 정보를 이용, 공격 대상의 특성을 파악하고 이에 맞게 이메일을 조정한다. 특히 도메인 리디렉션을 반복하며 치밀한 공격을 퍼붓기도 한다. 그 결과 이메일 보안 스캐너가 QR 코드에서 악성 링크를 감지할 수 있더라도 탐지되지 않는다.

신원 관리, 접속 시스템 ‘확인 또 확인’ 필요

최근 이같은 퀴싱 공격은 급속히 증가하고 있다. 이미 해외에선 간단한 ‘링크드인’(LinkedIn) 검색 후 IT 헬프데스크 직원을 사칭한 공격자에게 ‘비싱’(음성 피싱) 전화를 건 것만으로 네트워크 접근 자격 증명을 손에 넣는 일도 발생했다. 물론 이런 경우 훈련된 직원은 QR 코드를 스캔할 가능성이 적고, IT 부서에 먼저 확인함으로써 피해를 방지할 수도 있다.

이를 방지하기 위해선 “신원이나 접속 관리를 더욱 철저히 할 필요가 있다.”는 전문가들의 조언이다. 지난 ‘세계보안엑스포 2024’에 참가했던 보안업체 ‘엔피코어’ 관계자는 이런 유형의 퀴싱에 대해 “강력하고 고유한 비밀번호를 의무화하고, 비번을 재사용하거나 공유해선 안 된다”면서 “특히 ‘퀴싱’의 가장 큰 폐해는 악의적인 행위자가 계정을 장기간 접속하며 장악할 수 있는 MFA 토큰을 훔치는 데 있다”면서 “이를 통해 범죄자가 자신의 계정에 보이지 않게 숨어 공격할 최적의 타이밍만을 노릴 시간이 주어진다”고 경고했다.

그래서 바람직하기론, MFA 토큰의 만료 시간을 1주일로 줄일 필요가 있다는 주문이다. 또한 위치, 로그인 시간, 인터넷 제공업체와 같은 환경 요소를 결합한 ‘지능형 보안 모니터링’을 적용하며, 의심스러운 로그인을 판별하도록 한다. 전문가들은 “‘퀴싱’은 네트워크 방어자와 위협 행위자 간의 지속적인 전쟁의 와중에서 가장 최근에 진화한 수법일 뿐”이라며 “이에 맞는 대응책을 적극 업데이트해야 할 때”임을 강조하고 있다.