QR코드가 함정인가요? 너무 늦기 전에 퀴싱 사기를 알아내는 방법

qrpurple-gettyimages-1371105440

BlackJack3D/ iStock / Getty Images Plus via Getty Images

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET의 주요 시사점

  • 이메일이나 첨부파일에 있는 QR 코드는 사기일 수 있습니다.
  • QR 코드 피싱은 MFA를 우회하여 데이터 도난으로 이어집니다.
  • 퀴싱 공격의 작동 방식과 안전을 유지하기 위해 할 수 있는 일.

받은 편지함에 QR 코드가 도착하고 호기심이 더 커진 적이 있습니까?

피싱과 사기에 대해 생각할 때, 가장 오래된 수법 중 상당수는 우리가 여전히 매일 접하는 수법입니다. 오랫동안 잃어버린 친척이 우리에게 유산을 물려줬다고 주장하는 이메일입니다. ‘Facebook’은 즉시 답변하지 않으면 계정이 동결될 것이라고 경고합니다. 가짜 복권 당첨; 그리고 우리에게 수백만 달러를 송금하려는 소위 투자자들의 원치 않는 권유도 있습니다.

또한: 모바일 피싱은 이제 이메일보다 더 큰 위협입니다.

그러나 시대는 변하고 있습니다. 채용 사기는 구직자의 참여를 유도할 만큼 정교해지고 있습니다. AI는 피싱 시도를 인간화하고 개선하며 심지어 전체 공격 체인을 자동화하는 데 사용되고 있습니다. 이제 QR 코드를 무기화하여 다중 인증(MFA)을 우회하고 데이터를 훔치고 계정을 탈취하는 공격 벡터가 등장하고 있습니다.

Quishing: QR 사기 증가

퀴싱(QR 코드 기반 피싱)은 QR 코드에 악성 링크를 삽입하여 기존 피싱 필터를 우회하고 보안망을 빠져나가는 방식입니다. 미끼는 동일합니다. 긴박감을 조성하고, 탐욕에 호소하고, 두려움과 공황을 조장하거나, 휴대폰으로 QR 코드를 스캔하고 포함된 링크를 클릭하여 온라인 페이지나 플랫폼을 방문하는 것에 대한 보상을 약속합니다.

또한: Microsoft는 새로운 AI 기반 Windows 보안 전략에 올인합니다.

QR 코드 피싱 사기는 다양한 형태를 취할 수 있습니다. 은행에서 보낸 가짜 메시지, 복권 당첨을 축하하는 이메일, 소셜 미디어 제공업체에서 보낸 긴급 메시지. 코드를 스캔하고 링크를 클릭하면 데이터를 훔치거나 소유한 계정을 손상시키도록 설계된 도메인에 접속할 수 있습니다.

Hoxhunt의 2026년 피싱 동향 보고서에 따르면 이메일을 통한 기본 QR 코드 피싱 메시지는 감소세를 보이고 있지만 악성 PDF와 같은 사기 이메일 첨부 파일에 숨겨진 공격 벡터로 다시 등장하고 있습니다.

전체적으로 QR 코드 피싱 공격은 전년 대비 25% 증가했습니다. 보고서에 따르면 QR 코드는 물리적 공간에서도 발견되거나 포스터에 삽입되거나 가짜 명함에 새겨져 있기 때문에 디지털 공간만이 아닙니다.

공격자가 MFA 방어를 피하는 방법

Hothunt의 연구는 전통적인 이메일 공격 벡터가 AITM(Adversary-in-the-Middle) 및 중단 공격으로 대체되고 있다고 경고하는 Google 신뢰 및 안전 팀의 6월 공지에 의해 뒷받침됩니다.

Quishing은 보안 필터로 읽거나 감지하기 어려운 형식으로 악성 링크를 위장하여 AITM과 쌍을 이룹니다. Google과 Microsoft에 따르면 작동 방식은 다음과 같습니다. 퀴싱 이메일을 받고 호기심이 생겨 코드를 스캔하도록 유도합니다. 그런 다음 은행, 금융 서비스 제공업체 또는 작업 플랫폼과 같은 신뢰할 수 있는 서비스의 도메인으로 보이는 복제된 웹 사이트로 이동됩니다.

또한: 무료로 QR 코드를 만드는 방법

그런 다음 자격 증명을 제출하면 공격자가 신뢰할 수 있는 웹 사이트에 로그인하고 있다고 믿기 때문에 기존 다단계 인증(MFA) 보호를 우회할 수 있습니다. 그런 다음 비밀번호와 세션 토큰을 캡처하여 데이터 도난, 계정 손상 등을 초래할 수 있습니다.

특히 기업의 경우 이 전술이 기존 피싱보다 더 위험한 이유는 피해자가 휴대폰을 사용하여 QR 코드를 스캔하여 피싱 탐지와 같은 네트워크 기반 보안 및 안전망을 우회한다는 것입니다.

Microsoft Defender 팀은 최근 몇 달 동안 QR 코드 기반 사이버 범죄 캠페인이 전체 피싱 캠페인의 10%에서 30%로 증가한 것을 관찰했습니다.

QR코드 피싱에 빠지지 않는 방법

QR 코드는 목적지, 링크, 콘텐츠를 이미지와 같은 형식으로 숨기기 때문에 그 안에 무엇이 있는지 쉽게 알 수 없고 출처를 확인할 수 없습니다. 그렇기 때문에 무작정 QR 코드를 스캔하고 따라가는 것은 위험합니다.

QR 코드, 특히 예상하지 못한 코드는 이메일로 전송된 링크나 첨부 파일과 마찬가지로 의심스럽게 다루어야 합니다. 형식이 다르기 때문에 피싱의 관점은 동일합니다. 피해자의 호기심을 강요하거나 이용하여 악의적인 온라인 리소스를 클릭하고 방문하도록 유도하는 것입니다. 여기서 유일한 차이점은 전달 메커니즘입니다. 직접적인 링크나 파일 대신 피해자가 카메라를 사용하여 스캔합니다.

또한: 최고의 맬웨어 제거 소프트웨어: 전문가 테스트 및 검토

여기서 가장 좋은 조언은 조심하라는 것입니다. 은행에서 보낸 것으로 보이는 QR 코드가 포함된 이메일을 받은 경우 별도의 탭에서 은행 공식 웹사이트를 방문하거나 은행 모바일 앱을 여세요. 메시지가 합법적인 것처럼 보이더라도 안전과 보안을 위해 출처가 합법적이고 메시지 내용이 안전하다고 완전히 확신하지 않는 한 링크를 클릭하거나 첨부 파일을 열거나 QR 코드를 스캔해서는 안 됩니다.

QR 코드 위협은 이메일에만 국한되지 않는다는 점도 명심하세요. 좋아하는 상점 근처의 가로등 기둥에 붙어 있는 QR 코드 스티커가 보이시나요? 실제 QR 코드 스티커도 개인 정보 보호 및 보안에 심각한 위협이 될 수 있습니다.

자세한 정보 확인

공식 정보 바로가기

관련 기사

댓글 남기기