<사회> 손쉬운 접근, 숨겨진 위험 (한성대신문, 606호)

    • 입력 2024-12-16 00:01
    • |
    • 수정 2024-12-16 00:01

QR코드는 스마트폰을 활용한 스캔을 통해 결제, 주문 등을 손쉽게 할 수 있도록 해주는 도구다. 그러나 최근 이를 악용한 범죄가 기승을 부리고 있다. 바로 ‘큐싱’이다. 큐싱은 ‘QR코드’와 ‘피싱’의 합성어로, QR코드를 활용한 해킹 범죄를 의미한다. 큐싱으로 인해 많은 사람들이 피해를 입고 있지만, 큐싱을 예방할 수 있는 실질적인 대안은 전무하다.

큐싱은 QR코드를 스캔하는 이용자를 대상으로 한다. 가해자는 가짜 QR코드를 유포하고, 악성 애플리케이션(이하 앱) 설치를 유도한다. 이용자가 QR코드를 스캔하면 자동으로 URL*에 연결돼 악성 앱이 다운로드되며, 금융정보와 개인정보를 탈취한다. 실제로 SK쉴더스의 「2024 보안 위협 전망 보고서」에 따르면 지난해 국내에서 탐지된 온라인 보안 공격 중 17%가 개인을 노린 피싱·큐싱 범죄였다. 정순채(법무법인 린) 전문위원은 “큐싱으로 인한 피해는 전 세계적으로 보고되고 있다”며 “특히 대중적인 장소에서의 피해가 빈번하게 발생하고 있다”고 말했다.

많은 사람이 일상생활 곳곳에서 무방비 상태로 큐싱에 노출돼 있다. 가해자는 공유 킥보드에 부착된 정상 QR코드 위에 악성 QR코드 스티커를 덧붙이는 등의 수법을 활용한다. 황진석(동국대학교 국제정보보호대학원 정보보호학과) 교수는 “대부분의 사람들은 평상시에 아무런 의심 없이 QR코드를 촬영하는 경향이 있다”며 “큐싱에 의해 악성코드가 설치된 휴대폰은 해킹 등 여러 범죄에 활용될 수 있다”고 전했다.

특히 공유 모빌리티 업체에서 악성 QR코드가 주로 부착될 수 있는 자전거나 킥보드 등에 대한 관리·감독이 부실한 문제가 발생한다. 한국퍼스널모빌리티산업협회에 따르면 공유PM(개인형 이동장치)의 개수는 2020년 7만 대였던 것에 비해 2023년 29만 대로 대폭 증가했다. 공유 자전거나 킥보드를 이용하는 사람들의 수가 많아짐에 따라 업체의 미흡한 관리는 더욱 치명적으로 다가올 수 있다는 의견이다. 황 교수는 “공유 모빌리티 이용에 대한 신뢰도 저하와 공공 안전 문제가 우려된다”고 밝혔다.

사이버범죄의 검거율이 계속해서 하락하는 등 점차 고도화되는 사이버범죄에 대한 효과적인 대처가 이뤄지지 못하고 있다. e-나라지표의 「사이버범죄 발생 및 근거」에 따르면 사이버범죄 발생 대비 검거율은 2016년 이후로 지속적으로 감소하는 추세를 보이고 있다. 이에 대해 정 전문위원은 “사이버범죄의 가해자는 처벌에 대한 두려움 없이 범죄를 반복하기 때문에 범죄 억제력이 약화되고, 피해자 증가와 사회적 불안감의 증대가 발생한다”고 답했다.

QR코드 생성 시 URL의 유해 여부를 검증하는 절차가 마련되지 않았기 때문에 악성 QR코드를 만들기 쉬운 환경이 조성됐다는 의견이 제기된다. 더군다나 대부분의 QR코드 생성 사이트에서는 QR코드 생성 시의 비용을 요구하지 않기 때문에 악성 QR코드의 대량 생산이 가능하다는 지적이다. 유지호(한양사이버대학교 해킹보안학과) 교수는 “QR코드는 생성과 인쇄에 큰 비용이 들지 않기 때문에 악용되는 사례가 많다”고 덧붙였다.

공유 모빌리티 업체에서 악성 QR코드를 판독할 수 있는 시스템을 마련하지 않은 점이 공유 자전거·킥보드 이용자가 피해를 입는 문제의 원인으로 꼽힌다. 보안 기능의 부재가 이용자를 위험에 빠뜨리게 했다는 설명이다. 황 교수는 “업체의 미흡한 관리감독은 공유 모빌리티의 운영비용 증가를 불러온다”고 전했다.

사이버범죄 수사관의 사이버수사 기피 현상이 사이버범죄 검거율의 하락을 초래했다는 것이 문제의 원인으로 지적된다. 사이버범죄 가해자는 해외에 서버를 두는 등 타 범죄에 비해 추적이 어렵기 때문에 수사의 난이도가 상대적으로 높다. 정 전문위원은 “통신수사 등의 절차가 복잡하고 난해해 수사관들이 사이버범죄 수사를 꺼리는 현상이 발생한다”고 말했다.

QR코드 생성 사이트에서 QR코드 생성 시 첨부하는 URL의 유해 여부를 검증하는 절차를 의무화해 악성 URL 주소를 제재해야 한다는 의견이 제기된다. 예컨대 구글의 자회사인 VirusTotal은 이용자에게 악성 콘텐츠가 URL에 포함돼 있는지에 대한 여부를 분석하는 서비스를 제공한다. 권헌영(고려대학교 정보보호대학원) 원장은 “URL 유해 여부를 검증하는 절차를 의무화하는 것은 큐싱의 예방에 매우 효과적인 조치가 될 것”이라고 전했다.

공유 모빌리티 업체에서 악성 QR코드를 판독할 수 있는 시스템을 구축해 이용자를 보호해야 한다는 해결 방안도 제시된다. ‘서울자전거 따릉이’는 악성 QR코드가 부착돼 있어도 따릉이 애플리케이션을 통해 스캔 시 대여 불가 안내가 나오며 외부 링크로 연결되지 않는다. 정 전문위원은 “업체에서 QR코드 생성 및 관리 시 주의사항을 준수해야 한다”며 “이용자의 정보 보호를 위한 데이터의 암호화가 필요하다”고 설명했다.

효과적인 사이버범죄 수사를 위해 전문 사이버수사대를 편성하고 ▲보이스피싱 ▲스미싱 ▲큐싱 등 사이버범죄 유형을 세분화시켜야 한다는 것이 전문가들의 전언이다. 정 전문위원은 “수사관들의 수사 의지를 향상하고, 역동적인 사기를 앙양하는 정책이 필요한 시점”이라고 밝혔다.

*URL : 인터넷에서 특정 사이트에 접속하기 위해 입력해야 하는 주소

박석희 기자

[email protected]

댓글 [ 0 ]
댓글 서비스는 로그인 이후 사용가능합니다.
댓글등록
취소
  • 최신순
닫기