'진정한 100% 공짜'에 속아 내 손으로 범죄를 도왔다…'큐싱' 주의보
등록 2024.12.21 09:30:00
KISA '무료 쿠폰앱·사은행사 등 사칭 큐싱 주의 권고'
의심스러운 문자나 QR코드는 클릭하거나 공유하지 말아야
사진=유토이미지 *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = "진정한 100% 공짜, 무료 쿠폰앱" "기념 사은 행사, 상품권을 무료로 드립니다"
최근 '무료 쿠폰 앱' '사은 행사' '상품권 증정' 등 문구로 사용자를 속여 악성 앱을 설치하도록 유도하는 스미싱 사례가 늘고 있다. 이 악성 앱은 단순히 피해자의 정보를 빼앗는 것 뿐만 아니라 피해자가 QR코드를 만들어 주변 사람들에게 공유하도록 유도해 피해를 확산시키는 기능까지 포함하고 있어 각별한 주의가 필요하다.
문자로 접근하고 QR코드 이용해 확산
KISA에 따르면 스미싱 문자에는 '1COUPON', '무료 쿠폰 앱'과 같은 키워드가 포함돼 있으며, 문자 안의 링크(URL)를 클릭하면 피싱 사이트로 연결된다. 이 사이트는 사용자가 악성앱을 다운로드하도록 유도한다.
이 악성앱은 사용자가 QR코드를 생성하고 주변 사람들과 공유하도록 설계돼 있다. 예를 들어, 포인트나 보상을 받는다는 명목으로 공유된 QR코드는 새로운 피해자를 양산하는 도구로 작용하게 된다. 악성 앱 설치 시, 스마트폰의 기기 정보(기기명, IMEI 등)와 개인 정보(문자, 사진 등)가 유출될 수 있다.
이처럼 QR코드를 악용한 피싱을 '큐싱(Phishing)'이라고 한다. 큐싱은 사용자가 스마트폰 카메라로 QR코드를 스캔하면 악성코드가 탑재된 앱 설치를 유도하거나, 악성 웹사이트로 연결시키는 등으로 개인정보와 금융정보를 빼가는 공격 방식이다.
앞서 중국에서는 가짜 QR코드를 담은 주차 위반 딱지가 발견되기도 했고 스페인 마드리드에선 공공 자전거에 부착된 사기 QR코드가 발견돼 논란이 됐다. 우리 정부도 초·중·고 학생들 사이에서 QR코드 활용이 급증하면서 이를 악용한 큐싱 피해에 대한 주의를 당부한 바 있다.
큐싱 공격자는 악성 웹사이트 링크가 포함된 QR 코드를 생성해 다양한 방법으로 배포한다. 사용자가 QR 코드로 접속한 웹사이트는 사용자에게 악성앱을 다운로드 하도록 유도하거나, 로그인 정보·카드 정보 또는 기타 개인 정보를 입력하도록 요구한다. 이를 통해 사용자가 민감한 정보를 입력하면 그 정보는 공격자에게 전송되며 계정 탈취, 금전적 손해, 개인정보 도용 등에 악용된다.
정보 유출 뿐 아니라 금전적 피해까지 발생
아울러 ▲개인정보(휴대폰 번호, 비밀번호 등) 입력 주의 ▲모바일 전용 보안앱, 스미싱 탐지앱 설치 및 최신 버전 유지 등으로 피해를 입지 않도록 해야 한다.
악성앱에 감염된 경우엔 즉시 스마트폰을 점검해야 한다. 모바일 백신으로 앱을 삭제하거나, 수동으로 삭제 후 서비스센터를 방문하는 것이 권장된다.
악성앱 감염 및 피싱 사이트를 통한 정보 유출이 의심되는 경우엔 통신사 '번호 도용 문자 차단 서비스'를 신청해 자신의 번호가 도용되지 않도록 차단조치를 해야 한다.
금융서비스 이용 이력이 있는 경우에는 공인인증서와 보안카드를 폐기하고 재발급받아야 한다. 아울러 통신사 고객센터를 통해 모바일 결제 피해를 확인하고, 경찰서 사이버수사대에 피해 내용을 신고해 후속 조치를 받는 것이 중요하다.
스미싱 피해를 줄이기 위해 KISA '보호나라' 카카오톡 채널 등에서 스미싱 문자를 신고할 수 있다. 또 스미싱 피해자는 자신이 피해 사실을 주변에 알리는 것이 중요하다. 공격자가 주소록을 활용해 추가 피해를 시도할 수 있으므로 주변 지인들에게 경고 메시지를 전파해 2차 피해를 방지해야 한다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
