이젠 QR코드도 함부로 찍지 마세요!

요즘 지인들과 대화를 나누다 보면 피싱을 당할 뻔했다는 사례들을 쉽게 접할 수 있다. 피싱(Phishing)이란 전자우편이나 메신저를 사용해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 비밀번호나 신용카드 정보와 같이 기밀을 유지해야 하는 정보를 부정하게 얻으려는 수법을 의미한다. 

대부분 피싱에 대해 잘 알고 있겠지만 오늘날 피싱의 수법은 더욱더 교묘해지고 있다. 방심하는 순간 피싱에 노출될 수 있다. 내가 겪었던, 또 지인들이 겪었던 사례를 살펴본다. 

첫 번째 유형은 국세청 등을 사칭해 연말정산, 세금 환급을 위해 개인정보가 필요하다며 신분증 사진, 계좌번호 등을 요구하는 것이다. 연초에 아버지는 연말정산 애플리케이션 또는 URL 다운로드를 유도하는 문자를 받기도 했다.

두 번째 유형은 대학 또는 기업을 사칭하여 입학 및 취업 합격 확인 문자 메시지를 보내는 것이다. 합격 확인을 위해 신분증, 주민등록번호 등의 개인정보를 입력하도록 하거나 예치금 등을 납부하도록 하는 방식이다. 실제 지인 중 대학에 붙었다며 이름과 연락처 예치금을 납부하라는 문자에 당할 뻔하기도 했다. 

세 번째 유형은 카드사를 사칭해 카드 신규발급, 해외 부정 사용이 의심된다는 내용의 문자를 발송하는 경우다. 실제 나에게 일어났던 사례기도 하다. 해외쇼핑 결제 문자를 보내 본인 구매가 아니면 콜센터로 취소 요청을 해달라는 피싱 유형이었다. 카드사에서는 절대로 해외 문자로 결제 안내 문자를 주지 않는다고 한다. 발신번호가 해외라면 항상 주의를 해야할 것이다.

네 번째 유형은 택배 배송 안내문자이다. 평소 택배 배송을 즐겨하던 나는 택배 배송을 가장하여 URL 링크 주소 클릭을 유도하는 수법에 당할 뻔한 경험이 굉장히 많다. ‘주소가 잘못되어 택배가 반송되었다’는 내용이나, 이벤트 당첨을 가장해 URL 링크 주소의 클릭을 유도하는 문자는 특히 흔히 발생하는 피싱이기에 더욱 주의를 기울여야 할 것이다.

마지막으로 신종 QR코드 사기이다. QR코드 사기는 큐싱(QR코드 + 피싱의 줄임말)이라고 불리기도 한다. QR코드로 악성 앱 설치를 유도해 개인 또는 금융정보를 유출하는 행위이다. QR코드는 오늘날 다양한 범위에서 유용하게 쓰이고 있다. 사용이 편리하지만 그만큼 보안에 취약할 수밖에 없다. 큐싱의 유형은 다음과 같다. 따릉이 등 기존에 설치되어 있는 QR코드 위에 다른 악성 QR코드를 덧붙이는 방식, 공공기관이나 사무소를 사칭하여 QR코드로 납부하라는 스티커 등이 대표적이다.

 

앞서 보았듯, 피싱은 더욱 교묘하고 다양한 방식으로 이루어지고 있다. 이를 해결하기 위해 최근에 ‘RCS 안심마크 서비스’가 시행되기도 한다. RCS 안심마크는 누구나 쉽게 구분하고 안심할 수 있도록 인증 마크와 ‘확인된 발신번호’의 안심 문구가 결합해 표기되기 때문에 보이스피싱 등의 사칭 문자로 인한 대국민 피해 예방에 도움을 준다는 장점이 있다. 현재 고용노동부를 비롯해 국세청, 국민연금공단, 서울시, 산림조합중앙회 등의 공공기관과 금융기관 등 약 300여곳 이상이 사용 중이라고 한다.

 

날로 진화하고 있는 스미싱 피해를 예방하기 위한 첫걸음은 다양한 신종 피싱 유형들을 숙지하고, 미리미리 대처하는 것이다. 지속적인 주의와 노력으로 피싱 문제에 슬기롭게 대처하는 국민들이 많아지기를 바란다.

불법스팸대응센터 : https://spam.kisa.or.kr/spam/main.do

대한민국 정책기자단 박성하 shungha0312@gmail.com

(www.korea.kr)