QR코드 하나로 무너진다···크리스마스·연말 소비가 만든 모바일 보안 공백

[사진=디파짓포토스]

[이뉴스투데이 김진영 기자] 연말 쇼핑 대목을 노린 사이버 공격이 스마트폰으로 빠르게 이동하고 있다. 택배 배송 조회, 크리스마스 할인, 경품 이벤트 등 일상적인 소비 행위에 QR코드와 모바일 링크가 깊숙이 들어왔다. 이 과정에서 스마트폰 하나가 뚫리면 개인정보와 금융 정보, 각종 인증 수단까지 동시에 노출되는 구조가 고착화되고 있어 주의가 필요하다는 지적이 나온다.

한국인터넷진흥원에 따르면 2023년 연말연시 기간 랜섬웨어 신고 건수는 약 18% 증가했고, 정부·공공기관이나 지인을 사칭한 스미싱 공격은 약 60% 늘었다. 민간 보안업계 분석에서도 연말연시 전자상거래 관련 사이버 공격은 평소 대비 200% 이상 증가한 것으로 나타났다. 온라인 거래 비중이 60%를 넘는 연말 소비 구조 자체가 공격 표면을 키우고 있다는 평가다.

최근 보안 업계가 포착한 사례는 이런 통계가 추상적인 경고에 그치지 않음을 보여준다. 북한 해커 조직 ‘김수키’는 택배 배송 조회로 위장한 문자와 이메일에 QR코드를 삽입해 악성 앱 설치를 유도했다. PC에서는 ‘보안상 조회 불가’라는 문구를 띄워 스마트폰 접속을 유도, QR코드를 스캔하면 정상 보안 앱처럼 꾸민 APK 파일이 내려받아지는 방식이다. 설치 이후에는 문자·통화 기록, 위치 정보, 키 입력, 카메라·마이크 제어까지 가능한 원격제어 기능이 활성화된다.

이런 방식의 공격은 최근 QR코드(QR)와 피싱(Phishing)의 합성어인 ‘큐싱(Qshing)’으로 불리며 확산되고 있다. 엘리베이터 내부 안내문이나 공공 기물에 부착된 QR코드를 악용하는 사례가 대표적이다. 최근에는 공유 킥보드나 자전거 기기에 가짜 QR코드를 덧붙여 이용자를 속이고, 악성 앱 설치나 개인정보 탈취로 이어지는 방식의 범행도 잇따르고 있다. QR코드가 일상 공간에 자연스럽게 스며든 만큼, 공격 매개로 작동할 여지가 그만큼 넓어졌다는 분석이다.

이 같은 공격이 연말에 집중되는 데는 환경적 요인이 크다. 크리스마스와 연말연시를 앞두고 온라인 쇼핑과 택배 물량이 급증하면서 배송 지연과 조회 불안이 일상화되기 때문이다. 실제 연말에는 택배 물량이 평소보다 1.5 배가량 늘어나고, 배송 지연 공지가 반복된다. 이 시기에 ‘주소 불명’, ‘배송 실패’를 가장한 피싱 메일과 문자가 대량 유포되며 이용자들의 경계심을 낮춘다.

여기에 대형 이슈를 악용한 공격까지 겹친다. 쿠팡 개인정보 유출 사고나 정부 정책을 가장한 미끼 문자가 대표적이다. ‘주문하신 물건이 배송됐다’, ‘소비쿠폰 과다 지급 환수’ 같은 문구로 링크 클릭을 유도한 뒤 가짜 사이트로 연결해 악성 프로그램 설치나 결제를 유도하는 방식이다. 방송통신위원회는 최근 이런 유형의 악성 스팸이 연말 소비 시즌과 맞물려 확산하고 있다며 출처가 불분명한 URL과 QR코드에 대한 각별한 주의를 당부했다.

공격 수법은 기술적으로도 빠르게 진화하고 있다. 글로벌 사이버 보안 기업 체크포인트 리서치에 따르면 올해 크리스마스 시즌에만 수만 건의 피싱 공격과 가짜 연말 광고가 SNS를 통해 유통됐다. 인공지능(AI)을 활용해 가짜 쇼핑몰과 피싱 이메일을 자동 생성하고, 실제 고객센터처럼 보이는 화면과 자연스러운 문장을 구현하는 사례도 늘었다. 과거 어설픈 번역 어투의 사기 메일로 구분되던 공격이 이제는 육안 식별이 어려운 수준으로 바뀌었다는 해석이다.

보안 기업 포티넷은 최근 보고서에서 최근 3개월간 ‘크리스마스’나 ‘블랙프라이데이’를 내건 신규 웹사이트가 1만8000개 이상 생성됐다고 밝혔다. 이 가운데 상당수는 유명 쇼핑몰을 흉내 낸 가짜 사이트이거나 개인정보 탈취를 목적으로 만든 악성 페이지였다. 택배 조회나 무료 상품권 당첨을 미끼로 한 스미싱 역시 연말을 기점으로 급증하는 양상이다.

다만 대응 방식은 여전히 이용자의 주의에 무게가 실려 있다. 정부와 보안 기관은 출처가 불분명한 링크를 누르지 말고, 의심 문자와 이메일을 신고하라고 권고하고 있다. 한 보안업계 관계자는 “연말연시는 선물, 안부 인사, 이벤트 등으로 메시지가 급증해 위험 신호를 즉각 판단하기 어려운 시기”라며 “QR코드와 링크 기반 공격은 이용자의 순간적인 판단 실수를 전제로 설계돼 있다”고 설명했다.

전문가들은 연말 소비 환경에서 모바일 보안의 기준 자체를 재점검해야 한다고 지적한다. QR코드 스캔과 링크 클릭을 전제로 설계된 서비스 구조, 1차 인증에 의존한 로그인 방식, 사후 차단 중심의 대응 체계가 맞물리며 보안 공백이 확대되고 있다는 것이다. 포티넷 관계자는 “AI 기반 공격을 막기 위해서는 주요 포털과 쇼핑몰 계정에 2단계 인증을 반드시 설정하는 등 기본 보안 설정을 강화해야 한다”고 조언했다.