요즘 어디를 가든 QR코드를 접하지 않는 날이 없습니다. 카페, 식당, 지하철 광고, 행사장 입장, 전자영수증까지 QR코드는 편리함 그 자체가 되었죠.
하지만 그만큼 위험성도 커지고 있습니다. QR코드를 통한 피싱 범죄가 최근 급증하고 있으며, 실제로 QR코드를 스캔했다가 계좌정보를 탈취당하거나, 악성 앱이 설치된 사례도 있습니다.
이 글에서는 실제 발생한 QR 피싱 사례를 중심으로, 어떤 방식으로 공격이 이뤄지고, 일반 사용자는 어떻게 대응해야 하는지 구체적인 팁과 함께 설명드리겠습니다.
1. QR코드 피싱이란 무엇인가?
QR코드 피싱은 QR코드 속에 악성 URL 또는 악성 코드를 삽입하여 사용자가 스캔했을 때 피싱 사이트나 악성 앱으로 유도하는 사기 수법입니다.
겉으로 보기엔 평범한 QR 코드이지만, 내부에는 의심 사이트로 연결되는 링크가 포함돼 있어 사용자가 무심코 클릭하면 피해를 입게 됩니다.
공격자는 이를 통해 다음과 같은 정보를 탈취합니다:
- 📱 스마트폰에 저장된 연락처, 사진, 문자
- 💳 공인인증서, 계좌번호, OTP 정보
- 🔐 자동 로그인된 SNS, 이메일 계정 정보
2. 실제 QR코드 사기 피해 사례
✅ 사례 1: 지하철 광고판 QR코드 교체
서울 지하철역 내 한 광고판에서 누군가 기존 QR코드 위에 스티커를 붙여 위장 코드를 설치한 사건이 있었습니다. 이용객들은 안내 메시지로 착각하고 이를 스캔했고, 피싱 사이트에 접속해 개인정보를 입력하게 되었습니다.
✅ 사례 2: 위장 출석 체크 QR
대학교 강의실 내 ‘출석 확인용 QR’이라며 게시된 종이 QR코드를 학생들이 찍었는데, 실제로는 ‘금융사기 앱 다운로드 페이지’로 연결되는 링크였습니다. 피해 학생 중 일부는 해당 앱 설치 후 기기 통제가 불가능해졌습니다.
✅ 사례 3: 택배 송장 위조 QR코드
‘택배 조회’라고 적힌 문자에 QR코드가 포함되어 있었고, 이를 스캔하자 가짜 택배사 사이트로 연결되어 송장번호 확인 후 정보 입력을 유도. 이후 악성 앱이 설치되어 계좌이체 피해가 발생한 사례가 다수 보고되었습니다.
3. 어떤 방식으로 공격이 이뤄지나?
QR코드 피싱 공격은 매우 정교하며, 다음과 같은 방식으로 작동합니다.
1) QR코드 내부에 악성 URL 삽입
QR코드는 단순 이미지처럼 보이지만, 사실 URL 주소 정보를 담고 있습니다. 공격자는 악성 링크로 연결되도록 코드를 생성한 뒤, 이를 인쇄하거나 SNS에 배포합니다.
2) 피싱 사이트로 연결 → 정보 입력 유도
사용자가 스캔하면 실제 기관과 유사하게 만든 가짜 페이지로 이동됩니다. 이곳에서 이름, 연락처, 계좌번호, 공인인증서 비밀번호 등을 입력하게 됩니다.
3) 악성 앱 설치 유도
경우에 따라서는 사용자의 스마트폰에 APK 파일(안드로이드용 앱 설치파일)을 자동 다운로드시켜 원격 제어, 감시, 데이터 탈취까지 시도하는 경우도 있습니다.
4. 사용자가 확인할 수 있는 사전 대응법
피해를 막기 위해선 무엇보다 사용자의 ‘선제적 의심’과 확인 습관이 중요합니다.
✅ QR코드 찍기 전 체크리스트
- 📍 어디에 부착된 코드인지 출처 확인 (종이, 벽, 광고판 등)
- 🔍 URL 주소가 어떤 도메인으로 연결되는지 반드시 미리 확인
- 📴 앱 설치 또는 APK 다운로드가 뜨면 즉시 취소
- 🛡️ 스마트폰 보안 앱 설치 및 실시간 감시 기능 켜기
- 🚫 QR코드를 통한 로그인 요청이나 인증 절차는 의심할 것
💡 URL 확인 팁
- ‘naver.com’, ‘google.com’ 등 정확한 도메인 철자 확인
- ‘naver-login.kr’처럼 비슷하게 생긴 가짜 도메인 주의
- ‘https://’가 없는 링크는 절대 입력 금지
5. QR코드 보안을 위한 기술적 조치
최근에는 보안을 강화한 동적 QR코드 또는 암호화 QR 설루션도 등장하고 있습니다.
▶ 동적 QR코드
생성 이후에도 링크 내용을 수정할 수 있으며, 스캔 횟수 추적, 유효기간 제한 등의 기능으로 위변조를 방지합니다.
▶ QR 사전 검사 앱 사용
예를 들어 ‘Kaspersky QR Scanner’, ‘Norton Snap QR’ 등의 앱은 QR코드를 스캔하기 전 링크를 분석하여 **악성 여부를 사전에 알려주는 기능**을 제공합니다.
▶ iOS·Android 최신 버전 유지
운영체제를 최신으로 유지하면 QR코드에서 앱 설치 또는 외부 파일 다운로드 시 경고 알림이 작동하여 악성 앱 설치를 방지할 수 있습니다.
6. 피해 발생 시 이렇게 대응하세요
만약 QR코드 피싱 피해가 의심되거나 악성 앱을 설치했을 경우, 다음과 같이 신속히 대응해야 합니다.
📌 긴급 대응 절차
- 🔌 모든 네트워크 연결 해제 (와이파이, LTE)
- ⚙️ 스마트폰 설정 → 앱 관리 → 의심 앱 삭제
- 🔒 금융 앱, 인증서, 간편결제 앱 모두 비밀번호 변경
- 📞 통신사 또는 한국인터넷진흥원(KISA) 신고: www.kisa.or.kr
- 🏦 은행 고객센터 연락 → 즉시 계좌 사용 중지 요청
💬 참고
스마트폰 백신 앱(알약 M, V3 모바일 등)으로 검사를 진행하면 악성 앱 및 파일을 탐지해 삭제할 수 있습니다.
📊 QR 피싱 범죄 증가 추이
한국인터넷진흥원(KISA)에 따르면, QR코드를 이용한 피싱 범죄는 2023년부터 급증하고 있으며, 2025년 현재까지 누적 신고 건수가 2만 건 이상으로 집계됐습니다.
특히 모바일 간편 결제와 공공기관 QR 사용이 확대되면서 사기범들이 노릴 수 있는 표적도 다양해지고 있습니다.
🔚 결론: QR코드는 편리하지만, 그만큼 조심해야 한다
QR코드는 빠르고 효율적인 정보 전달 수단입니다. 하지만 눈에 보이지 않는 위험이 숨어 있다는 점에서, 우리는 항상 경계심을 가져야 합니다.
단 한 번의 스캔으로 소중한 정보와 자산을 잃을 수 있는 시대. 편리함보다 먼저 보안을 생각해야 할 때입니다.
오늘 소개한 피해 사례와 예방 수칙을 숙지하고, 앞으로는 QR코드를 찍기 전 5초만 더 생각해 보세요. 그 5초가 여러분의 개인정보를 지켜줄 수 있습니다.