공공장소 무차별 부착된 가짜 QR코드, 악성 사이트 연결의 ‘미끼’로 전락
하루 평균 938건 디지털 사기 신고… AI 기술 악용한 정교한 모방 사이트 기승
“개인 넘어 기업 보안망 침투 우려” 전문가 경고… 철저한 URL 확인 등 주의 당부
(자카르타=한인포스트) 인도네시아 전역에서 QR 코드 기술을 악용한 신종 사이버 사기 수법인 ‘큐싱(Quishing, QR Code와 Phishing의 합성어)’ 피해가 급증하며 당국이 비상 경계 태세에 돌입했다.
비대면·비접촉 결제의 핵심 수단으로 자리 잡은 QR 코드의 편리함이 도리어 개인의 금융 정보와 로그인 데이터를 탈취하는 범죄의 도구로 악용되고 있어, 현지 교민과 관광객들의 각별한 주의가 요구된다.
◇ “QR 코드 찍는 순간 털린다”… 진화하는 사이버 범죄 ‘큐싱’
인도네시아 통신정보시스템보안연구센터(CISSReC)의 프라타마 페르사다(Pratama Persadha) 소장은 지난 12월 1일 공식 성명을 통해 “사이버 범죄자들이 기존에 단순한 결제 기술로만 여겨졌던 QR 코드를 이용해 ‘큐싱’이라는 정교하고 지능적인 범죄를 저지르고 있다”고 경고했다.
프라타마 소장은 “범죄자들은 피해자를 악성 사이트나 가짜 결제 채널로 유도하기 위해 공공장소에 무차별적으로 위조 QR 코드를 배포하고 있다”며 “이는 단순한 피싱을 넘어선 심각한 사회적 위협”이라고 지적했다.
실제로 현지 디지털 범죄의 급증세는 구체적인 통계로도 확인되고 있다. 인도네시아 금융감독청(OJK)이 발표한 자료에 따르면, 2025년 10월 31일 기준으로 접수된 디지털 사기 신고 건수는 총 32만 3천 건에 달한다.
이는 하루 평균 약 938건의 사기 피해가 발생하고 있다는 뜻으로, 인도네시아 내 디지털 금융 보안의 취약성이 여실히 드러나는 대목이다.
◇ 식당·ATM·주차장까지 침투… ‘덧붙이기’ 수법 주의보
범죄자들의 수법은 날로 대담해지고 있다. 이들은 유동 인구가 많은 현금인출기(ATM), 주차장 정산기, 공용 스마트폰 충전기 등 대중의 경계심이 느슨한 장소를 주요 타깃으로 삼는다.
특히 식당이나 상점 계산대에 비치된 정식 결제용 QR 코드 스탠드 위에 위조된 QR 코드 스티커를 교묘하게 덧붙이는 ‘덧붙이기(Overlay)’ 수법이 성행하고 있다. 사용자가 별다른 의심 없이 평소처럼 스캔을 시도하는 순간 범죄의 덫에 걸려들게 되는 구조다.
사용자가 위조된 코드를 스캔하면, 실제 은행이나 유명 서비스 업체의 로그인 화면을 정교하게 모방한 피싱 페이지로 연결된다. 최근에는 인공지능(AI) 기술을 활용해 공식 웹사이트와 육안으로는 구별이 불가능할 정도로 완벽하게 위조된 사이트를 제작하는 사례가 늘고 있다. 이 가짜 사이트에 사용자가 비밀번호나 신용카드 번호 등 민감한 정보를 입력하면, 해당 데이터는 즉시 해커의 서버로 전송되어 금전적 탈취나 2차 범죄에 악용된다.
◇ 기업 보안망을 노리는 ‘트로이의 목마’ 우려
‘큐싱’의 위협은 개인 차원에 그치지 않는다. 전문가들은 기업 네트워크 보안에 심각한 구멍이 뚫릴 수 있다고 우려한다. 해커들이 사내 카페테리아나 행사장 등에서 출석 체크, 설문 조사, 경품 응모 등을 위장한 가짜 QR 코드를 배포할 경우, 이를 스캔한 직원의 업무용 모바일 기기에 악성코드가 설치될 수 있다.
일단 직원의 기기가 감염되면 해커는 이를 교두보 삼아 기업 내부 보안망에 침투할 수 있는 ‘백도어(Backdoor)’를 확보하게 된다. 이는 기업의 기밀 정보 유출이나 랜섬웨어 감염 등 막대한 경제적 손실로 이어질 수 있어 기업 보안 담당자들의 긴장감을 고조시키고 있다.
◇ “스캔 전후 확인 필수”… 전문가들이 제안하는 예방 수칙
프라타마 소장은 “일반적인 육안으로는 정품 QR 코드와 위조 코드를 구별하는 것이 사실상 불가능하다”며 스캔 전후의 철저한 확인 절차를 강조했다.
그는 “출처가 불분명한 이메일에 첨부된 QR 코드나 길거리에 무작위로 배포된 전단지, 특히 공공장소의 키오스크 등에 스티커가 이중으로 부착된 흔적이 보일 경우 즉시 의심하고 사용을 중단해야 한다”고 조언했다. 또한 “스캔 후 연결되는 웹사이트의 URL 주소가 무작위 숫자나 문자의 조합(난수)으로 이루어져 있거나, 공식 도메인 주소와 미세하게 다를 경우 절대 개인정보를 입력해서는 안 된다”고 덧붙였다.
보안 전문가들은 큐싱 피해를 예방하기 위해 다음과 같은 보안 수칙 준수를 당부했다.
▲전용 보안 앱 사용: 단순 카메라 앱 대신 악성 링크를 사전에 탐지하는 보안 기능이 탑재된 QR 스캔 전용 애플리케이션을 사용한다.
▲공식 경로 이용: QR 코드 스캔보다는 공식 웹사이트 주소를 직접 입력하거나 전용 앱을 통해 접속하는 습관을 기른다.
▲보안 업데이트: 스마트폰 운영체제(OS) 및 브라우저를 항상 최신 버전으로 유지해 보안 취약점을 최소화한다.
▲2단계 인증(2FA) 활성화: 계정 탈취를 방지하기 위해 주요 금융 및 소셜 미디어 계정에 2단계 인증 기능을 설정한다.
인도네시아 당국은 큐싱 범죄 근절을 위해 관련 모니터링을 강화하고 대국민 홍보 캠페인을 전개할 방침이나, 기술의 발전 속도만큼이나 빠르게 진화하는 범죄 수법에 대응하기 위해서는 개개인의 보안 의식 제고가 무엇보다 시급한 시점이다. (Rizal Akbar Fauzi 정치 경제기자)
이 기사가 정보에 도움이 되셨는지요? 기사는 독자 원고료로 만듭니다. 24시간 취재하는 10여 기자에게 원고료로 응원해 주세요. * 인도네시아 BCA 0657099868 CHONG SUN * 한국 계좌번호 문의 카톡 아이디 haninpost
*기사이용 저작권 계약 문의 : 카톡 아이디 haninpost
카톡아이디 haninpost
