1. 개요
- QR코드(Quick Response Code)란 컴퓨터가 생성한 흑백 격자무늬 코드로, 정보를 나타내는 매트릭스 형식의 이차원 코드 [1]
> 기존 바코드의 단점(작은 용량_최대 20여자 숫자 정보만 저장)을 개선해 더 많고 풍부한 정보를 작은 코드에 저장할 수 있게됨
> 동작 과정: QR코드 인식 → 이미지 처리(정보 추출) → 디코딩 및 오류 수정 → 작업 수행
- QR코드가 대중화되면서 다양한 장소(카페, 백화점, 서점, 전자출입명부 등)에서 활용됨
> QR코드를 인식하기 전 어떤 정보가 확인할 수 없다는 단점
> 이를 악용해, QR코드를 악용한 ‘큐싱(Qshing)’ 등장
2. 큐싱(Qshing)
- QR코드와 피싱(Phishing)의 합성어로, QR코드로 악성 앱 설치를 유도해 정보 탈취, 소액결재 등 악성 행위가 발생하는 범죄 수법
※ 피싱(Phishing): Private data와 Fishing의 합성어로 피해자를 속여 개인정보 또는 금융정보를 탈취하는 수법
- 2023 08~09월 동안 공격이 587%나 증가한 것으로 확인 [3]
- QR코드를 통해 악성 프로그램을 다운받게 하고, 개인정보를 빼내며, 공격 과정은 다음과 같음
① 악성 QR코드 인식
② 악성 URL 접속
③ 악성 앱 설치 유도 및 설치
④ 개인정보 및 금융정보 탈취
※ 피싱 관련 범죄 수법의 변화 과정
① 보이스피싱(Voice Phishing)
> 전화를 이용해 피해자를 기망 또는 협박해 개인정보 및 금융정보를 요구하거나, 금전을 이체하도록 유도
> Voice, Private Data, Fishing의 합성어로 Vishing이라고도 불림
> 특정 기관으로 속여 대출 권유, 자금이체 요구하는 경우 진위 여부 확인 등 의심 필요
② 스미싱(Smishing)
> SMS와 Phishing의 합성어
> 문자 등에 악성 링크를 포함해 발송하여 클릭을 유도하며, 사용자가 해당 링크에 접근할 경우 악성코드 설치, 개인정보 및 금융정보를 탈취
> 출처가 불분명한 링크 주의, 시각적으로 비슷한 글자 사용 여부 확인 등 주의 필요
③ 파밍(Pharming)
> Phishing과 Farming의 합성어
> DNS 서버를 해킹하거나 악성코드를 유포해 사용자가 접근한 사이트와 유사한 가짜 사이트로 접속되도록 해 개인정보를 탈취
> 악성코드를 통해 이뤄지므로 안티바이러스 최신버전 사용, 출처가 불분명한 메일, 웹 사이트 확인시 등 주의 필요
④ 큐싱(Qshing)
3. 대응방안
- 출처를 알 수 없는 앱의 설치를 허용하지 않도록 스마트폰 설정 변경
- 출처가 불분명한 경우(공공장소, E-mail 등) 인식 금지 (또는 주의)
- QR 코드 링크로 연결된 앱 다운로드 금지 (또는 주의)
- 검증된 공식 마켓에서 앱 다운로드 및 내용, 평한 확인 후 다운로드
- 모바일 백신 앱, 보안이 적용된 QR 스캐너 활용
- QR코드 결제 표준안 준수(국제 표준 준수, QR코드 자체 보안기능 탑재, 위변조방지 특수필름 부착 등) [5]
4. 참고
[1] https://www.qrcode.com/ko/
[2] https://nordvpn.com/ko/blog/what-is-a-qr-code/
[3] https://www.hackread.com/qr-code-quishing-check-point-attack-spike/
[4] https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002950180
[5] https://www.fsc.go.kr/no010101/73398?srchCtgry=&curPage=262&srchKey=&srchText=&srchBeginDt=&srchEndDt=
[6] https://www.hackread.com/qr-code-quishing-check-point-attack-spike/
[7] https://www.boannews.com/media/view.asp?idx=123158&kind=1&search=title&find=%B1%DE%C1%F5%C7%CF%B4%C2+%C5%B0%BD%CC+%B0%F8%B0%DD%2C+%C5%A5%BE%CB%C4%DA%B5%E5+%BD%BA%C4%B5
[8] https://namu.wiki/w/%EC%A0%84%EA%B8%B0%ED%86%B5%EC%8B%A0%EA%B8%88%EC%9C%B5%EC%82%AC%EA%B8%B0
'취약점 > Social Engineering' 카테고리의 다른 글
| 취약한 이메일 보안 프로토콜을 악용하는 북한 해킹그룹 (0) | 2024.05.06 |
|---|---|
| MS Teams 공격 도구 TeamsPhisher (0) | 2023.07.06 |
| 국정원, 北의 '네이버 복제 피싱사이트' 주의 당부 (0) | 2023.06.14 |
| 마이크로소프트, 다단계 AiTM 피싱 및 BEC 공격에 대해 경고 (0) | 2023.06.12 |
| 국정원, 국내 '포털사이트' 사칭한 北 해킹공격 주의 촉구 (1) | 2023.05.26 |