가짜 QRIS 주의, 은행 데이터 도난 위협

최근 인터넷 사용자들 사이에서 큰 논란을 일으키고 있는 가짜 QRIS(Quick Response Code Indonesian Standard)를 통한 은행 데이터 도난 사건이 발생했다. 해당 사건은 틱톡(TikTok) 사용자 @jack.separro의 게시물을 통해 2024년 11월 27일 처음 공개되었다.

그의 영상은 QRIS를 악용한 데이터 도난 수법을 자세히 보여주며 경각심을 불러일으켰다. 이 사건은 디지털 결제 기술이 점차 대중화되면서 발생할 수 있는 보안 위협을 재조명하는 주요 사례로 자리 잡고 있다.

틱톡 영상에 따르면 사용자들은 표면상 QRIS로 보이는 코드를 스캔한 후, 사용자 이름, 비밀번호, PIN 등 민감한 정보를 적도록 요구하는 링크로 연결된다.

영상 게시자는 “QRIS를 스캔할 때 매우 주의해야 하며, 은행 데이터와 PIN이 도난당할 수 있다”고 강력히 경고했다. 사용자들이 안심하고 사용하는 결제 코드가 악의적으로 조작될 경우, 이를 통해 민감한 금융 정보가 빠르게 유출될 수 있다는 점에서 소비자 보호가 절실히 요구된다.

이에 대해 인도네시아 중앙은행(BI) 역시 공식 성명을 내놓으며 대중들에게 주의를 당부했다.

지급결제정책국장은 “링크가 포함된 QR 코드는 가짜 QRIS”라고 단언하면서 QRIS의 작동 방식과 사기 수법의 차이를 설명했다. 공식 QRIS는 사용자가 링크를 클릭하지 않아도 결제 앱을 통해 자동으로 판매자 정보 또는 상점 정보를 확인할 수 있다고 강조했다.

그러나 가짜 QRIS는 이를 가장하여 사용자들을 피싱 사이트로 유도해 개인 정보를 훔치는 수법을 사용한다고 밝혔다. 이러한 수법은 QR 피싱 또는 퀴싱(Quishing)으로 불리며, 사이버 공간에서 흔히 발생하는 신종 금융사기 기법이다.

피트리아 국장은 또한 틱톡 영상에 등장한 가짜 QRIS 스캔 과정에서 사용된 앱의 구체적 정보가 없다는 점을 언급하며, 일반 휴대폰 카메라 앱이 사기에 연루되었을 가능성을 철저히 조사 중이라고 말했다.

정품 QRIS 코드는 링크가 포함되지 않으며, 모바일 뱅킹 앱이나 정식 결제 서비스 제공업체(PJP) 앱과 같은 공인된 플랫폼에서만 정상적으로 인식된다는 점을 강조했다.

따라서 사용자들이 비공식적인 방법으로 QR 코드를 스캔하거나 타사 앱을 활용할 경우, 사기 피해에 노출될 위험은 더욱 높아질 수밖에 없다.

중앙은행은 이러한 위험을 줄이기 위해 소비자들이 다음과 같은 사항을 준수할 것을 권장했다.

첫째, QRIS 코드의 진위 여부를 반드시 확인하고, 공식 결제 앱만을 사용.

둘째, 결제 앱에 나타나는 판매자 정보와 실제 거래 상점의 이름이 일치하는지 확인.

셋째, 모바일 카메라 앱을 통해 QR 코드를 직접 스캔하는 것은 피해야 하며, 항상 공인 앱을 이용해 데이터를 보호해야.

이러한 예방 조치가 사용자 데이터 보안에 있어 매우 중요하다고 강조한 중앙은행은 지속적으로 QRIS 사기 수법에 대한 정보를 대중에게 알릴 것을 약속했다.

현대 사회에서 QR 코드는 간편하고 신속한 결제 수단으로 자리 잡아 사용자들에게 많은 편의를 제공하고 있다.

하지만 기술의 발전과 함께 이를 악용한 사이버 사기 기법도 더욱 정교해지고 있다. QRIS를 포함한 디지털 결제 수단이 신뢰를 유지하기 위해서는 사용자 스스로의 주의와 보안 인식이 필수적이다.

또한 정부와 금융권, 기술 제공 업체의 협력을 통해 보안 체계를 지속적으로 강화하고, 사기 수법에 대한 인식을 널리 확산시키는 노력이 더욱 필요하다.

결국, 신뢰할 수 있는 결제 환경을 유지하기 위해서는 사용자와 시스템 모두가 상호 보완적으로 작동해야한다. (Rizal Akbar Fauzi 정치 경제기자)