이젠 QR 코드로 해킹…FBI 주의 요망

북한 해킹그룹 '김수키'를 형상화한 일러스트. 나노 바나나

QR 코드를 활용한 해킹 공격에 주의가 요망되고 있다.

미국 연방수사국(FBI)이 북한 해킹그룹 ‘김수키’의 신종 해킹 공격 주의를 당부했다. FBI는 11일(한국시간) “최근 김수키가 정부·싱크탱크·학술 기관을 대상으로 메시지에 악성 QR 코드를 삽입하는 ‘퀴싱’(Quishing·QR 코드와 피싱의 합성어) 공격을 가하고 있다”고 밝혔다.

이런 ‘퀴싱’은 공격자가 QR 코드 안에 악성 URL을 넣는 수법으로 회사의 이메일 보안 시스템을 우회한다. 첨부 파일이나 내장 그래픽 형태로 QR 코드를 전송해 URL 검사 등을 피한다.

QR 코드를 스캔하면 공격자는 리다이렉션(다른 URL로 유도하는 행위) 프로그램으로 대상의 IP 주소와 운영체제 등 장치 정보를 수집한다. 일반적으로 기업들은 회사 컴퓨터나 네트워크에 보안 시스템을 구축하는데, 관리 범위에서 벗어난 모바일 장치로 침투하면 감지하기 힘들 수 있다.

FBI는 퀴싱 수법으로 해킹을 시도한 사례를 다수 수집했다. 지난해 5월 김수키는 외국인 고문을 흉내 내 한 싱크탱크 관계자에게 한반도 정세에 관한 의견을 구하는 이메일을 보냈다. 이메일에는 설문에 접속할 수 있는 QR 코드가 포함돼 있었다.

대사관 직원을 사칭해 북한 인권 문제를 다루는 싱크탱크 선임 연구원에게도 메일을 보냈다. 해당 메일에는 보안 드라이브에 접근할 수 있는 QR 코드가 있었다.

이 외에도 김수키는 한 전략 자문 회사에 존재하지 않는 콘퍼런스에 참석하라는 내용의 이메일을 발송했다. 이 메일에 포함된 QR 코드를 스캔했더니 개인정보 입력을 요구하는 가짜 구글 계정 로그인 화면이 떴다.

FBI는 퀴싱 위험에 대비할 수 있는 ‘보안 전략’이 필수라고 강조했다. 먼저 이메일이나 전단 등에 확인되지 않은 QR 코드는 스캔하지 않도록 교육하고, 불가피한 경우 QR 코드 발신자에게 직접 연락해 확인할 것을 권고했다.

또 QR 코드를 분석할 수 있는 보안 솔루션을 배포하고, 원격 접속 및 중요 시스템의 다단계 인증을 의무화해야 한다고 전했다. 침입 시를 대비해 모든 프로그램에 복잡한 비밀번호를 걸고 계정 권한을 수시로 점검해야 한다고도 당부했다.