[보안베어의 IT 주저리] QR코드 금융사기 ‘큐싱'(QR코드+피싱) 주의 #9

제목 없음-1

안녕하세요, 보안베어입니다.

스마트폰으로 촬영만 하면 각종 정보를 제공 받을 수 있는 ‘QR코드’

최근 스마트폰으로 은행 거래하는 분들을 노리고 ‘QR코드’를 악용해 돈을 빼가는

‘큐싱 사기’수법이 등장했는데요.

진짜 금융사이트를 접속해도 피싱사이트(가짜 사이트)로 이동되어

많은 분들이 속을 수 밖에 없었다고 합니다!

그래서 오늘은 큐싱 사기수법과 피해 예방, 대처법에 대해서 알아보겠습니다.

 

  1. ‘QR코드’란?

 1

길거리의 광고판을 들여다보면 언제부터인가 정사각형 모양의 불규칙한 마크가 하나 들어 있음을 알 수 있습니다.

특수기호나 상형문자 같기도 한 이 마크를 ‘QR코드’라고 합니다. QR은 ‘Quick Response’의 약자로 ‘빠른 응답’을 얻을 수 있다는 의미입니다. 흔히 보는 바코드 비슷한 것인데, 활용성이나 정보성 면에서 기존의 바코드보다는 한층 진일보한 코드 체계입니다.

기존의 바코드는 기본적으로 가로 배열에 최대 20여 자의 숫자 정보만 넣을 수 있는 1차원적 구성이지만, QR코드는 가로, 세로를 활용하여 숫자는 최대 7,089자, 문자는 최대 4,296자, 한자도 최대 1,817자 정도를 기록할 수 있는 2차원적 구성입니다. 때문에 바코드는 기껏해야 특정 상품명이나 제조사 등의 정보만 기록할 수 있었지만, QR코드에는 긴 문장의 인터넷 주소(URL)나 사진 및 동영상 정보, 지도 정보, 명함 정보 등을 모두 담을 수 있습니다.

최근에는 QR코드가 기업의 중요한 홍보/마케팅 수단으로 통용되면서 온/오프라인을 걸쳐 폭넓게 활용되고 있습니다.

 

 2

  1. ‘큐싱’이란?

큐싱은 QR코드와 개인정보나 금융정보를 낚는다(Fishing)는 단어의 합성어로, 이미 악성코드에 감염된 스마트폰에서 발생합니다. 파일공유사이트 등에서 악성코드에 감염된 이용자의 스마트폰은 정상 금융사이트에 접속하려 해도 가짜 금융사이트(피싱사이트)로 연결됩니다. 가짜 금융사이트에서 추가인증이 필요한 것처럼 QR코드를 보여주고 악성 앱 설치를 유도한 뒤 보안카드·전화번호·문자메시지 등의 정보를 빼내는 것이 전형적 수법입니다

 3

  1. 큐싱 피해사례

최는 A씨는 ○○은행 스마트뱅킹으로 자금이체를 진행하던 중 추가인증이 필요하다며 QR코드가 나타나 메시지에 따라 앱을 설치 후 보안카드를 비추는 순간 금융사기로 인식되어 동작을 멈추었으나, 통신사에 확인해 보니 이미 게임머니 등으로 35만원이 소액결제 처리된 후 였습니다..

 

정보 유출뿐만 아니라 금전적인 피해까지 입히고 있는 큐싱사기는 아래와 같은 절차로 진행되고 있습니다.

 

– 큐싱(Qshing)사기 진행 절차

① 스마트폰을 악성코드에 감염시켜 사용자가 정상 금융 사이트에 접속하더라도

가짜 금융사이트(피싱사이트)로 연결.,

 

② 가짜 금융사이트에서 추가인증이 필요한 것처럼 QR코드를 보여주고 이를 통해 악성 앱이

설치되도록 유도

 

③ 악성 앱을 통해 보안카드, 전화번호, 문자메시지 등의 정보를 탈취하고 문자 수신방해,

착신전환 서비스 설정 등 모바일 환경을 조작

 

④ 소액결제, 자금이체 등 금전적 이득을 위한 금융사기 피해를 유발

 

 4

 

  1. 큐싱 피해 예방 방법

 

QR코드는 간단한 사진 촬영만으로 각종 정보를 획득할 수 있어 유용하지만, 악용될 경우 정상URL를 중간에서 가로채 악성링크로 접속을 유도하거나 직접 악성코드를 심는 통로로 활용될 가능성이 많음에 따라 한국인터넷진흥원(KISA)에서 배포하는 스마트폰 보안점검 앱인 폰키퍼 등을 활용하여 악성코드 감염을 방지할 필요가 있습니다.

또는 소액 결제를 이용하지 않는 사용자는 통신사에 소액 결제 기능을 차단해달라고 요청하는 것이 좋습니다.

 

 

  1. 피해가 발생하면?

 

소액결제가 발생한 경우 피해자는 경찰서에 피해내역을 지참하고 ‘사건사고 사실확인원’을 발급받아 통신사 고객센터에 금융사기 피해접수 및 사건사고 사실확인원을 제출하여야 합니다.

접수받은 통신사는 결제대행사 및 콘텐츠사업자와 스미싱 피해여부를 확인하고 결제금 환불(취소) 또는 부과 여부를 결정하여 그 결과를 통지합니다.

 5

 

 

보안베어가 사랑하는 여러분~

 

큐싱, 항상 염두해두시고,

항상 보안에 신경 써야 한다는 거 꼭 기억하세요^^

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.