"QR코드, 공식 앱 사용해도 피싱 주의해야"
[IT동아 정연호 기자] 코로나19 팬데믹 이후로 크게 유행한 것 중 하나가 QR코드다. 국내에선 정부가 빠른 역학조사를 위해 QR코드를 기반으로 한 전자출입명부 시스템을 도입하면서, QR코드를 쓰는 사람들도 급속도로 늘었다.
QR코드는 ‘Quick Response(빠른 응답)’의 약자로, 1994년 일본의 덴소사 (Denso)가 개발한 2차원 바코드다. 기존의 바코드가 가로 배열에 최대 20여 자 숫자 정보만 넣는 1차원적 구성이라면, QR코드는 가로 세로를 활용해 기존 바코드 보다 수십~수백 배는 더 많은 정보를 기록할 수 있는 2차원적 구성이다. 특정 상품명이나 제조사 정보만 기록할 수 있던 기존 1차원 바코드의 정보량 제한을 해결할 수 있다는 장점이 있다. QR코드에는 긴 문장의 인터넷 주소(URL)나 사진 및 동영상 정보, 지도 정보, 명함 정보 등을 모두 담을 수 있다.
스마트폰이나 태블릿 PC 등의 QR코드 인식 앱으로 QR코드를 스캔해 특정 사이트에 접속하거나, 전자출입명부 방식처럼 자신의 개인 정보를 입력할 수 있고, 쇼핑과 결제 과정에서 QR코드를 인식하면 주문과 결제도 한 번에 끝낼 수 있다. 최근엔 서울의 공유 자전거도 QR코드로 대여하고 반납할 수 있게 됐다.
시장조사 업체 주니퍼 리서치는 QR 코드 결제가 전 세계로 빠르게 확산되고 있으며, QR코드 결제 유저가 2020년 15억 명에서 2025년 22억 명에 이를 것으로 예측했다. 코로나19 대유행 이후로 세계 각국의 정부는 비접촉식 결제를 적극적으로 장려했고, QR코드 등의 비접촉식 결제는 편하기 때문에 많은 사람들이 빠르게 받아들이는 추세다.
한국핀테크산업협회의 ‘세계 전역에서 확산하는 QR 코드 결제’에 따르면, QR결제는 중국을 포함한 많은 경제권에서 빠르게 성장하고 있다. 인도는 국민의 40%가량이 QR코드 솔루션을 지원하는 통합결제 인터페이스(Unified Payment Interface, UPI)와 ‘바라트QR(Bharat QR) 코드’ 결제 방식을 사용할 정도로 QR 코드 결제의 주요 활용 국가다. 싱가포르는 2018년 9월 표준 QR 코드 인프라스트럭처를 선보이며 높은 수준의 활용을 이끌고 있다. ‘싱가포르 QR 코드(SGQR)’는 16만 곳 이상의 가맹점에서 채택했다.
미국에선 소매 시장에서 QR코드 결제가 증가하고 있다. 2015년에 출시된 월마트 페이(Walmart Pay)는 월 이용자 수가 2200만 명을 상회한다. 영국에선 QR코드가 주문 및 결제 프로세스와 결합해 소비자 경험을 높이고 있다. 체인 레스토랑인 와가마마(Wagamama)가 2018년 마스터카드와 협력해 내놓은 ‘Qkr!플랫폼(Qrk!Platform)’은 코로나19의 대유행 동안 소매점이 다시 문을 열기 시작한 2020년부터 큰 성공을 거두었다.
보고서는 “QR 코드 결제를 이용한 전 세계의 지출 금액은 2022년 2조 4,000억 달러(약 3,094조 원)에서 25% 성장해 2025년에는 3조 달러(약 3,867조 원)를 넘어설 것으로 전망된다. 주된 성장 배경은 개발도상국에서의 금융포용 향상과 선진국에서의 기존 결제 방법에 대한 대안으로 관심이 증가하는 것을 꼽을 수 있다”고 분석했다.
다만, QR코드는 누구나 자유롭게 제작하고 사용할 수 있는 만큼 위험 요소도 잠재한 기술이다. QR코드는 컴퓨터/인터넷 악성코드나 유해 웹사이트 주소 등도 전파할 수 있다. 육안으로는 정상적인 QR코드인지 판단할 수 없기 때문에, 검증된 기업이나 기관에서 제공하는 QR코드가 아니라면 피하는 것이 좋다. 실제로 이용자에게 정상적인 홈페이지라고 속인 다음 그들이 중요한 개인 정보를 입력하도록 해 정보를 탈취하는 사례가 발생하고 있다. QR코드를 스캔하면 무료 쿠폰을 주겠다면서 미끼를 던져 악성코드를 설치하게 만드는 경우도 있다.
강남대학교의 양형규 교수는 ‘QR 코드의 보안 취약점과 대응 방안 연구’에서 “오프라인 인쇄 매체는 물론이고 온라인 사이트에서도 QR 코드를 이용하고 있는데, 이러한 QR 코드가 해킹 등으로 인해 다른 QR 코드로 변조될 경우 변조 여부를 쉽게 확인할 수 없다. 피싱 메일의 경우처럼 전혀 다른 사이트로 연결됨에도 불구하고 이를 파악하기 쉽지 않은 문제가 있다. 오프라인 출력물인 경우 변조된 QR 코드를 덧붙이기만 하면 되기 때문에 더욱더 손쉽게 공격의 대상이 될 수 있다”고 경고했다.
금융감독원이 발표한 피해 사례를 보면 정상적인 앱을 사용하는 과정에서 QR코드로 피싱을 당한 피해자도 있다. 피해자는 스마트뱅킹으로 자금을 이체하던 중 추가인증 QR코드의 지시대로 앱을 설치했지만, 보안카드를 비추라는 요구를 받고 금융사고를 의심해 행동을 멈췄다. 하지만, 통신사에 확인해보니 게임머니 등으로 소액결제가 처리됐단 걸 알게 됐다. 스마트폰을 악성코드로 감염시켜 사용자가 정상 금융 사이트에 접속하더라도 가짜 금융사이트에 연결되게 하고, 가짜 금융사이트에서 추가인증이 필요한 것처럼 QR코드를 보여주며 악성 앱을 설치하도록 유도한 것이다.
전문가들은 QR코드로 인한 피해를 막기 위해선 어디서 보냈는지 출처가 확실하지 않은 QR코드는 스캔하지 않는 것이 좋으며, 공식 앱마켓에서도 위험한 앱이 유포될 수 있기 때문에 앱을 다운 받기 전 사용자 리뷰를 확인하는 것이 좋다고 말한다.
보안기업 안랩은 “악성 앱은 문자 메시지에 포함된 URL, QR코드, SNS, 사설 앱 마켓 등을 통해 정상 앱을 사칭해 유포된다. 따라서 사용자는 공식 마켓 외에 출처가 불분명한 곳에서 다운로드받지 않도록 주의하고, (스마트폰 앱 다운로드 설정에서) ‘알 수 없는 출처(소스)’의 허용 금지로 설정해야 한다. 공식 마켓에서도 악성 앱이 유포되는 경우가 있기 때문에 다운로드 전에는 평판 정보를 확인하는 것이 좋다. 또한, 모바일 전용 보안 앱이나 스미싱 탐지 앱을 설치하고 최신 버전을 유지하는 것이 중요하다”고 권했다.
보안기업 이스트시큐리티는 “공공장소나 보안성이 검증되지 않는 공간 및 사이트에서 제공하는 QR코드는 신중하게 확인한 뒤 스캔하고, 이메일의 경우엔 대부분 QR코드 인증을 요구하지 않기 때문에 이메일로 전달된 QR코드는 가급적 접속하지 말아야 한다. QR코드 피싱으로 개인정보가 노출됐다면 동일한 비밀번호를 사용하지 않는 게 좋다. 자주 이용하는 사이트마다 비밀번호를 다르게 설정할 것”을 권했다
글 / IT동아 정연호 (hoho@itdonga.com)