은행이 제시하는 QR코드 믿고 읽었다가

머니투데이

진달래 기자

직장인 A씨는 인터넷 뱅킹으로 친구에게 돈을 보내던 중 추가 인증이 필요하다는 안내 창을 봤다. 화면에 담긴 QR코드를 스마트폰 카메라 렌즈에 비췄더니 앱(애플리케이션) 하나가 설치됐다.

설치된 앱에서 안내한 대로 은행 보안카드를 찍었는데 앱 동작이 멈췄다. 결국 자금 이체를 제대로 하지 못하고 컴퓨터를 껐는데, 그 순간에 A씨 계좌에서 돈이 빠져나갔다는 사실을 알게 됐다.

인터넷 뱅킹 시 추가 인증 수단을 요구하는 것을 악용해 QR코드로 사용자를 속이는 수법이 갈수록 빈번해지고 있다. 본인도 모르는 순간 돈을 빼가는 일명 '큐싱(QR코드+스미싱)'이 기승을 부리고 있는 것. QR코드는 각종 정보를 담은 격자 모양 코드를 말한다.

큐싱은 일반 스미싱처럼 할인, 추가인증, 고지서 납부 등 사용자가 관심 있을 만한 메시지를 통해 QR코드를 실행하도록 유도하기도 한다. 스마트폰에 악성앱을 설치해 해당 앱을 통해 스마트폰 사용자 정보를 빼돌리는 수법이다.

A씨 사례처럼 은행 보안카드는 물론 전화번호 등 개인 정보까지 탈취해 소액 결제나 자금 이체 등으로 돈을 훔쳐간다.

최근 금융감독원은 큐싱 사기에 특히 주의할 것을 스마트폰 사용자들에게 당부했다. 피해를 예방하려면 우선 소액 결제를 쓰지 않는 사용자는 이동통신사 고객센터(114)에 소액 결제 기능을 차단하도록 요청하는 것이 좋다.

한국인터넷진흥원(KISA)에서 배포한 스마트폰 보안점검 앱 '폰키퍼(phone keeper)' 등 여러 스마트폰 보안 앱을 실행하는 것도 필수다. 보안 앱은 수시로 업데이트를 통해 제 역할을 하도록 관리해야 한다.

또 검증된 기업 등에서 제공하는 QR코드가 아닌 경우 사용 시 각별히 주의하는 것도 중요하다. 큐싱에 활용되는 QR코드에 유해 정보가 담겨 있는지 육안이나 앱으로 판단할 수 없기 때문에 공인된 경우만 접속하는 것이 좋다.

만약 큐싱을 포함한 스미싱으로 인해 피해가 발생했다면 국번없이 '118'로 전화하면 상담 문의는 물론 경찰 수사까지 의뢰할 수 있다. 최근 KISA와 경찰청이 함께 문을 연 '사이버 원스톱센터'는 감염진단·확산차단·백신치료 등은 물론 수사를 직접 접수하는 등 경찰 업무까지도 한 번에 진행해 준다.