’큐싱’ 피해 막는 확인서비스 나온다…KISA, 신종 피싱·스미싱 전방위 대응
한국인터넷진흥원(KISA)이 신종 피싱 수법인 ‘큐싱(QR코드+피싱)’ 사기 피해를 막기 위해 ‘큐싱 확인서비스’를 이달 중 개시한다. 큐알(QR)코드 활용이 증가하면서 이를 악용한 큐싱 사기 피해가 늘어나고 있는 가운데, KISA는 올해 3월부터 제공해온 카카오톡 ‘보호나라’ 채널 내 스미싱 확인 서비스에 이어 큐싱 확인 서비스를 준비하고 있다고 1일 밝혔다.
지금까지 국내에서 확인된 큐싱 시도 유형으로는 공유형 킥보드에 부착된 정상 QR코드 위에 큐싱 스티커를 덧붙이거나, 온라인 광고나 메일 본문에 큐싱을 삽입해 안전거래 등을 위해 필요한 앱이라고 속여 설치를 유도하는 경우가 있었다. 큐싱은 육안으로는 가짜 여부를 판별하기 어려워 정보통신(IT)에 익숙한 청소년들도 속아 넘어가기 쉬운 것으로 알려져 있다.
큐싱으로 악성 앱이 설치되면 스마트폰에 있는 모든 개인정보가 탈취될 수 있고, 원격에서 스마트폰을 조정해 보이스피싱, 몸캠 피싱, 개인정보 불법판매 등 다양한 피해를 입을 수 있다. 복잡한 인터넷 주소 입력을 대신하거나 필요한 앱을 바로 설치할 수 있도록 도와주는 QR코드의 편리함을 일상생활에서 자주 이용하는 학생들을 대상으로 하는 큐싱 피해 우려가 커지는 상황이다. 이에 따라 지난 10월 과학기술정보통신부와 교육부, 여성가족부, 개인정보보호원회, 경찰청, KISA는 초・중・고 학생들의 QR코드 사기 피해에 대해 각별한 주의를 당부하고, 큐싱 예방 교육과 홍보 강화에 나섰다.
KISA가 준비 중인 큐싱 확인 서비스는 이용자가 QR코드 결제 서비스 등을 이용하기 전에 QR코드를 카메라로 찍어서 미리 정상 여부를 판별해주는 기능이다.
김은성 KISA 국민피해대응단 스미싱대응팀장은 “QR 피싱은 새로운 위협이지만 스미싱의 색다른 전략이기도 하다. 문자 메시지로 보내는 방식이 아니라 스티커로 붙여놓은 방식으로, 출처가 불분명한 QR코드를 스캔했을 때 나타난 URL을 통해 악성 또는 피싱 사이트로 연결해 피해를 일으킨다”며 “보호나라 스미싱 확인 서비스 다음 버전으로 큐싱 확인 서비스를 준비하고 있다. 서비스 내 QR코드 버튼만 누르면 기기에 있는 카메라 기능과 연동, QR코드 링크를 자동으로 인식해 큐싱 확인 서비스로 넘겨주는 방식으로 제공된다. QR코드에 접속하기 전에 이 버튼을 눌러 QR코드를 찍어보고 정상으로 나오면 안전하게 접속해도 되고, 악성이라고 나오면 주의해야 한다”고 말했다.
KISA는 큐싱 확인 서비스를 통해 악성과 정상 여부를 안내하는 것을 넘어 가짜 QR 스티커를 제거해 추가 피해를 막을 수 있는 방법도 고민하고 있다.
이같은 큐싱 확인 서비스 외에도 KISA는 스미싱, 보이스피싱 등 날로 위협이 커지는 피싱 범죄에 전방위 선제 대응하기 위해 적극 나서고 있다. 금전·정신적 국민피해를 유발하는 피싱 범죄에 효과적으로 대응하기 위해 지난 5월 국민피해대응단을 출범했다. 국민피해대응단은 보이스피싱대응팀, 스미싱대응팀과 해킹메일 등의 위협 분석과 대응을 담당하는 디지털위협분석팀까지 3개팀으로 구성돼 있다.
이동연 KISA 국민피해대응단장은 “일상을 가장 위협하고 있는 피싱 피해는 금전적 정신적인 피해를 포함해 때때로 목숨까지 앗아가는 사고로 이어지고 있다. 이같은 피싱 범죄에 효과적으로 대응하기 위해 기관장의 의지를 담아 국민피해대응단이 출범했다. 현재 3개팀이 유기적으로 통합해 가장 효율적으로 피싱 피해에 대응하기 위해 노력하고 있다”고 강조했다.
KISA가 올해 탐지한 스미싱 건수는 올해 10월 기준 총 150만8879건으로, 작년 한 해 동안 집계한 50만3300건의 3배 규모에 달한다. 경찰청에 따르면 보이스피싱으로 인한 국내 피해액은 올 상반기 3242억원을 기록해 지난 2021년(7744억원)을 기점으로 지난해(4472억원)까지 해마다 감소하던 추세에서 올해 다시 증가세로 돌아섰다.
이 단장은 “피싱 범죄는 차단책을 우회하기 위해 계속해서 변화하며 증가하는 상황”이라며 “최근의 공격은 미끼 문자를 발송하는 스미싱으로부터 시작해 악성 앱을 설치해 개인정보를 모두 탈취한 다음 그 개인정보를 가지고 맞춤형 보이스피싱 공격을 시도하는 형태로 발생하고 있다. 악성 앱 감염 여부에 따라 피해액의 차이가 어마어마하게 커지고 있다”고 말했다.
이어 이 단장은 “과거에는 문자에 링크가 포함돼 있었는데 스미싱 탐지체계를 우회하기 위해 아이디만 제공해 카카오톡, 라인, 텔레그램같은 채팅방으로 유도하고 있다. 이 대화방에서 공감대가 형성되면 그 다음에 링크를 보낸다. 악성 앱이 스마트폰에 설치되면 공격자는 신상정보와 통화 내역, 사진, 연락처를 모두 확보하게 되고 실시간 감시로 전화 가로채기 등도 가능해져 정교하고 교묘하게 보이스피싱 공격을 한다”고 덧붙였다.
이같은 정교해진 피싱 수법에 선제적으로 대응하기 위해 국민피해대응단은 미끼문자에 노출되지 않기 위해 문자 수신단계가 아닌 발송단계에서의 미끼문자 전송을 원천 차단하는 기술을 개발할 계획이다. 또 메신저 등 소셜미디어(SNS)·클라우드로 우회하는 미끼문자 차단을 강화하고 SNS 피싱 알림체계를 마련한다는 방침이다. 미끼문자 유통 경로에 있는 기업이 방조한 경우 일정 책임을 부과하고 미끼문자가 수신되더라도 이용자가 확인하지 않도록 단말기에서 기술적으로 차단하는 방안도 고려하고 있다.
아울러 이동통신사와 문자사업자의 데이터를 통합 관리·조회하는 체계와 악성 앱에 감염된 기기를 알림·치료할 수 있는 모바일 체계를 구축하는 대응책도 검토하고 있다. 피싱 범죄 위험이 큰 저·고연령층을 위한 전용 스마트폰 환경을 개발하고 IT 취약계층을 위한 스마트폰 보건소 운영 등도 추진할 방침이다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network