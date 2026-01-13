북한과 연계된 해킹 조직이 QR코드를 이용한 새로운 피싱을 잇따라 시도하는 것으로 나타났다. 정부기관과 미국 연방수사국(FBI)은 각별한 주의를 당부하고 나섰다.
13일 한국인터넷진흥원(KISA)은 최근 정부기관이나 연구기관을 사칭해 QR코드를 찍게 만드는 사례가 늘고 있다고 밝혔다. QR코드를 통해 휴대전화에 악성 앱을 깔거나 개인 정보를 빼내는 ‘큐싱(QR 피싱)’ 수법이다.
● QR코드 찍었다가 개인정보·금융정보 탈탈
큐싱은 QR코드를 찍는 순간 해킹으로 이어지는 새로운 피싱 방식이다. QR코드 안에 악성 앱 설치 주소나 가짜 로그인 화면으로 연결되는 링크를 숨겨두고, 이를 통해 개인정보나 금융 정보를 빼내는 수법이다. 주로 이메일이나 문자 메시지에 QR코드를 담아 직접 촬영하도록 유도한다.
KISA가 확인한 사례를 보면 공격자들은 회사나 기관의 보안 관리가 미치지 않는 개인 스마트폰을 주요 표적으로 삼았다. 이들은 국내외 연구기관 직원인 것처럼 연락해 “국제 정세 변화에 대한 의견이나 설문을 받고 싶다”며 QR코드 접속을 유도했다.
QR코드를 찍으면 휴대전화에 악성 앱이 설치되거나, 실제 서비스와 구분하기 어려운 가짜 로그인 화면으로 연결된다. 이 과정에서 휴대전화 정보나 계정 로그인 정보가 공격자에게 넘어갈 수 있다.
특히 악성 앱이 설치될 경우 단말기 이름과 고유식별번호(IMEI), 문자 메시지와 사진 등 휴대전화에 저장된 정보까지 외부로 빠져나갈 수 있어 피해가 커질 수 있다.
국가정보원은 지난해 북한 해킹 조직이 약 2조2000억 원에 달하는 금전을 가로챈 사실을 확인했다고 밝혔다. 이 과정에서 큐싱과 같은 새로운 수법이 활용됐다는 설명이다.
미국 연방수사국(FBI)도 최근 북한 해킹 조직 ‘김수키’가 정부기관과 연구기관, 학계, 기업 관계자를 겨냥한 큐싱 공격을 늘리고 있다며 주의 경고를 발표했다.
KISA는 출처가 분명하지 않은 이메일이나 문자 메시지에 포함된 QR코드는 찍지 말 것을 당부했다. 의심스러운 경우에는 ‘보호나라’ 카카오톡 채널의 ‘큐싱 확인 서비스’를 통해 악성 여부를 확인하고 신고할 수 있다고 안내했다. 이미 악성 앱 감염이 의심된다면 모바일 백신 점검과 인증서 재발급, 모바일 결제 내역 확인 등 추가 피해를 막기 위한 조치를 서둘러야 한다고 강조했다.
