큐싱(QR 피싱) 예방 가이드 — 모르는 QR 코드, 이렇게 확인하세요
QR 코드가 결제·주문·인증까지 파고들면서, QR 코드를 미끼로 쓰는 피싱, 이른바 큐싱(Quishing = QR + Phishing)도 함께 늘고 있습니다. QR 코드는 사람 눈으로는 내용을 읽을 수 없다는 점을 악용해, 가짜 결제 페이지나 악성 앱 설치 페이지로 유도하는 수법입니다. 이 글에서는 실제로 보고된 수법과 스캔 전 확인 습관, 그리고 매장·사업자가 자신의 QR을 위조로부터 지키는 방법을 정리합니다.
실제로 벌어지는 큐싱 수법
- 위조 주차 고지서 — 차량 앞유리에 "불법 주차 과태료" 고지서를 끼워두고, QR로 가짜 납부 페이지에 카드 정보를 입력하게 유도합니다.
- 스티커 덧붙이기 — 식당 테이블 주문 QR, 공유 킥보드, 공공 포스터의 정상 QR 위에 가짜 QR 스티커를 덧붙입니다. 이용자는 정상 서비스라고 믿고 스캔합니다.
- 가짜 WiFi 안내판 — 카페·공항에서 "무료 WiFi"를 사칭한 QR로 악성 네트워크에 접속시키거나 가짜 로그인 페이지를 띄웁니다.
- 이메일·우편 큐싱 — "계정이 잠겼습니다, QR을 스캔해 인증하세요" 같은 메일에 QR을 넣습니다. URL 필터링을 우회하기 위해 링크 대신 QR을 쓰는 것입니다.
- 택배 반송 사기 — 가짜 부재중 배송 안내문의 QR로 개인정보 입력 페이지로 유도합니다.
스캔 전·후 확인 습관 5가지
- 스캔 후 뜨는 URL을 반드시 읽으세요. 스마트폰 카메라는 링크를 바로 열지 않고 URL 미리보기를 먼저 보여줍니다. 이때 도메인이 기관·브랜드 공식 도메인인지 확인하는 것이 가장 확실한 방어입니다.
- 단축 URL은 한 번 더 의심하세요. bit.ly 등 단축 링크는 목적지를 숨깁니다. 금전·개인정보와 관련된 상황에서 단축 URL이 나오면 열지 마세요.
- 물리적 위변조를 확인하세요. 안내판·키오스크의 QR이 스티커로 덧붙여져 있거나 주변 인쇄물과 재질·정렬이 다르면 의심하세요.
- QR로 연 페이지에서는 로그인·결제하지 않는 것을 원칙으로. 필요하면 공식 앱이나 직접 입력한 주소로 이동해서 처리하세요. 관공서는 QR로 과태료를 걷지 않습니다.
- 앱 설치 유도는 거절하세요. QR 스캔 직후 APK 파일 다운로드나 "보안 앱 설치"를 요구하면 악성코드일 가능성이 높습니다.
팁: 본 사이트의 스캐너는 QR을 스캔해도 링크를 자동으로 열지 않고 판독된 URL 전문을 먼저 보여줍니다. 의심스러운 QR 코드를 사진으로 찍어 업로드하면 접속하지 않고도 목적지 주소를 안전하게 확인할 수 있습니다.
사업자를 위한 QR 보호 수칙
매장 주문·결제 QR을 운영하는 사업자라면, 손님이 위조 QR에 당하는 순간 매출 손실과 신뢰 하락으로 직결됩니다. 다음 수칙을 권장합니다.
- 덧붙이기 어려운 방식으로 부착 — 종이 스티커 대신 아크릴 스탠드 안에 넣거나 코팅·라미네이팅으로 마감하면 위조 스티커를 덧붙이기 어렵고 티가 납니다.
- 브랜드 요소와 통합 — 매장 로고·브랜드 컬러와 함께 디자인된 QR은 단색 위조 스티커와 쉽게 구별됩니다.
- 도메인을 안내 문구에 병기 — "스캔하면 order.example.com으로 연결됩니다"라고 적어두면 손님이 스스로 검증할 수 있습니다.
- 정기 점검 — 개점 시 매장 QR을 직접 스캔해보는 것을 오픈 체크리스트에 포함하세요.
- 직원 교육 — 손님이 "QR이 이상하다"고 하면 즉시 부착물을 확인하는 절차를 만들어 두세요.
QR 코드 자체는 안전합니다
오해하지 말아야 할 점은, QR 코드라는 기술 자체에 취약점이 있는 것이 아니라는 사실입니다. QR 코드는 텍스트를 담는 그릇일 뿐이고, 위험한 것은 그 안의 링크가 가리키는 목적지입니다. 이는 이메일 링크, 문자 메시지 링크와 동일한 문제입니다. "모르는 링크를 함부로 열지 않는다"는 원칙을 QR에도 그대로 적용하면 됩니다. 스캔 자체만으로 해킹되는 경우는 정상적인 최신 스마트폰에서는 사실상 없습니다.
자주 묻는 질문
QR을 스캔만 했는데 폰이 감염될 수 있나요?
스캔만으로 감염되는 경우는 사실상 없습니다. 위험은 스캔 이후 열리는 페이지에서 파일을 내려받거나, 정보를 입력하거나, 앱을 설치할 때 발생합니다. 스캔 후 뜨는 URL을 확인하고 의심스러우면 열지 않는 것으로 대부분 방어됩니다.
이미 의심스러운 QR을 열어서 정보를 입력했어요.
카드 정보를 입력했다면 즉시 카드사에 연락해 정지·재발급하세요. 계정 비밀번호를 입력했다면 해당 서비스와 같은 비밀번호를 쓰는 모든 곳의 비밀번호를 변경하고, 금전 피해가 있으면 경찰청(112) 또는 금융감독원(1332)에 신고하세요.
정상 QR인지 미리 확인하는 방법이 있나요?
사진으로 찍어 이미지 스캐너에 업로드하면 접속 없이 URL만 추출해 볼 수 있습니다. 도메인이 공식 도메인과 일치하는지, 철자를 살짝 바꾼 위장 도메인(예: examp1e.com)이 아닌지 확인하세요.