QR코드 피싱(큐싱) 사기 주의보 — 가짜 QR코드 구별법과 안전 수칙
QR코드를 스캔하는 것만으로 개인정보가 털릴 수 있습니다. 큐싱(Quishing) 사기의 실체와 가짜 QR코드를 구별하는 방법, 안전하게 스캔하는 법을 알아보세요.
QR코드 피싱(큐싱) — 스캔 한 번에 털리는 신종 사기
식당에서 메뉴를 보려고 QR코드를 스캔합니다. 주차 정산을 위해 QR코드를 찍습니다. 택배 알림에 있는 QR코드를 확인합니다. 너무나 일상적인 행동이지만, 그 QR코드가 진짜가 아니라면 어떨까요?
2025-2026년 사이 QR코드를 이용한 피싱 공격은 매월 270%씩 증가하고 있으며, 전체 피싱 공격의 12%가 QR코드를 포함하고 있습니다. 이제 QR코드도 의심해야 할 시대가 왔습니다.
큐싱(Quishing)이란?
큐싱 = QR + 피싱(Phishing)
일반 피싱이 가짜 링크를 이메일이나 카카오톡으로 보내는 것이라면, 큐싱은 가짜 QR코드를 통해 악성 웹사이트로 유도하는 수법입니다. QR코드는 사람의 눈으로 내용을 확인할 수 없기 때문에, 일반 링크보다 더 위험합니다.
한국에서 실제로 벌어지는 큐싱 사기
1. 공유 킥보드 / 주차장 QR코드
정상 QR코드 위에 가짜 스티커를 덧붙임
→ 스캔하면 가짜 결제 페이지로 이동
→ 카드 정보 입력 시 그대로 탈취
주차장 정산기, 공유 킥보드, 자전거 대여소 등에 부착된 QR코드 위에 가짜 스티커를 붙이는 수법이 급증하고 있습니다.
2. 배달 앱 / 택배 사칭 QR코드
"배송 지연 안내 — QR코드를 스캔하여 일정을 변경하세요"
→ 가짜 배달 앱 로그인 페이지
→ 아이디/비밀번호 입력 시 계정 탈취
카카오톡이나 문자로 오는 가짜 택배 알림에 QR코드가 포함된 사례가 늘고 있습니다.
3. 식당 / 카페 메뉴판 QR코드
정상적인 메뉴 QR코드 위에 가짜 코드를 덧붙여, 개인정보 입력 페이지로 유도합니다. 특히 사전 주문이나 결제가 필요한 곳에서 피해가 발생합니다.
4. 이메일 속 QR코드
"보안 인증이 필요합니다 — 아래 QR코드를 스캔하세요"
→ 가짜 로그인 페이지
→ 회사 계정 정보 탈취
FBI는 북한 해커 그룹이 악성 QR코드를 이용한 공격을 수행하고 있다고 경고했으며, AI/LLM 기술을 활용해 더 정교한 피싱 메시지를 만들어내고 있습니다.
가짜 QR코드를 구별하는 5가지 방법
| 번호 | 확인 포인트 | 설명 |
|---|---|---|
| 1 | 스티커가 덧붙여져 있는가 | 기존 QR코드 위에 스티커가 붙어 있다면 의심하세요 |
| 2 | URL이 예상한 도메인과 다른가 | 스캔 후 표시되는 URL이 해당 서비스의 공식 도메인인지 확인하세요 |
| 3 | 즉시 개인정보/결제를 요구하는가 | 스캔 직후 카드 정보나 비밀번호를 요구하면 사기입니다 |
| 4 | HTTPS가 아닌가 | URL이 http://로 시작하면 보안이 적용되지 않은 사이트입니다 |
| 5 | 단축 URL을 통해 리다이렉트 되는가 | 여러 번 리다이렉트되면서 최종 도메인을 숨기는 경우 위험합니다 |
QR코드를 안전하게 스캔하는 방법
Step 1: 기본 카메라 앱 사용
스마트폰 기본 카메라로 QR코드를 비추면 URL이 먼저 표시됩니다. 바로 열지 말고, URL을 먼저 확인하세요.
Step 2: URL 확인 후 열기
표시된 URL이 예상한 도메인과 일치하는지 확인합니다. naver.com이어야 할 것이 n4ver-pay.com 같은 도메인이라면 절대 열지 마세요.
Step 3: QR코드에서 연결된 페이지에서 결제하지 않기
QR코드로 연결된 페이지에서 바로 카드 정보를 입력하지 마세요. 공식 앱이나 공식 웹사이트를 직접 방문하여 결제하세요.
Step 4: URL 검사 기능이 있는 QR 스캐너 사용
보안 기능이 포함된 QR 스캐너 앱을 사용하면 악성 URL을 사전에 차단할 수 있습니다.
Step 5: 물리적으로 확인
공공장소의 QR코드는 스티커가 덧붙여져 있지 않은지 손으로 확인해보세요. 들뜨거나 겹쳐 있다면 가짜일 가능성이 높습니다.
안전한 QR코드 vs 위험한 QR코드
안전한 사용 사례
- Wi-Fi 공유: 카페/호텔에서 Wi-Fi 비밀번호를 QR코드로 제공
- 공식 메뉴판: 식당 자체 시스템에서 제공하는 메뉴 QR코드
- 신뢰할 수 있는 결제: 공식 앱 내에서 생성된 결제 QR코드
- LOCK.PUB 링크 공유: 비밀번호로 보호된 안전한 도메인의 QR코드
위험한 사용 사례
- 이메일에 포함된 QR코드
- 공공장소에 누군가 임의로 붙인 스티커
- 출처가 불분명한 전단지/명함의 QR코드
- 카카오톡/문자로 받은 출처 불명의 QR코드
이미 수상한 QR코드를 스캔했다면?
당황하지 마세요. 다음 순서대로 대처하세요:
- 브라우저를 즉시 닫으세요 — 정보를 입력하지 않았다면 피해를 방지할 수 있습니다
- 정보를 입력했다면 즉시 비밀번호를 변경하세요
- 카드 정보를 입력했다면 카드사에 연락하여 카드를 정지시키세요
- 악성 앱이 설치되었을 수 있으므로 최근 설치된 앱을 확인하고 삭제하세요
- 경찰청 사이버범죄 신고(182) 또는 KISA(한국인터넷진흥원)에 신고하세요
LOCK.PUB은 QR코드를 어떻게 안전하게 사용하나요?
LOCK.PUB에서 생성된 링크는 QR코드로도 공유할 수 있습니다. 하지만 일반 QR코드와 다른 점이 있습니다:
- 비밀번호 보호: QR코드를 스캔해도 비밀번호를 알아야 내용 확인 가능
- 신뢰할 수 있는 도메인: 항상
lock.pub도메인으로 연결 - 만료 기능: 설정한 시간이 지나면 자동으로 비활성화
- 접근 추적: 누가 언제 열었는지 확인 가능
QR코드 자체가 위험한 것이 아니라, 검증되지 않은 QR코드가 위험한 것입니다. 신뢰할 수 있는 출처의 QR코드만 스캔하고, 항상 URL을 먼저 확인하는 습관을 들이세요.
결론
QR코드는 편리하지만, 그 편리함을 악용하는 사람들이 늘고 있습니다. 스캔 한 번에 카드 정보가 털리고, 계정이 탈취될 수 있습니다.
QR코드를 스캔하기 전, 3초만 멈추고 확인하세요. 그 3초가 당신의 개인정보와 자산을 지켜줍니다.
관련 키워드
다른 글도 읽어보세요
우리 아이 온라인 계정과 비밀번호, 안전하게 관리하는 법
자녀의 게임, 학습, SNS 계정 비밀번호를 체계적이고 안전하게 관리하는 부모 가이드. 연령별 관리법과 비상시 대처법까지 총정리.
퇴사할 때 업무 비밀번호와 계정을 안전하게 넘기는 방법
퇴사 시 수십 개의 업무 계정과 비밀번호를 후임자에게 안전하게 전달하는 구체적인 방법과 체크리스트를 소개합니다.
퇴사할 때 인수인계 자료를 안전하게 관리하는 법
퇴사 시 계정 정보, API 키, 프로젝트 파일 등 인수인계 자료를 안전하게 전달하고 관리하는 방법과 체크리스트를 소개합니다.