스미싱 피해 1년새 4배↑…QR코드 악용 '큐싱'도 새 위협으로 부상

[아이뉴스24 윤소진 기자] 스마트폰 문자메시지를 이용한 피싱 공격인 '스미싱' 피해가 최근 2년 새 4배 이상 급증한 것으로 나타났다.

악성 URL을 직접 전송하는 기존 방식에서 정상 원격제어 앱을 악용하거나 QR코드를 활용한 '큐싱'으로 공격 수법이 진화하고 있어 주의가 필요하다. 특히 누구나 쉽게 생성 가능한 QR코드는 휴대폰 카메라만으로도 즉시 접근할 수 있어 기존 스미싱보다 더 위험한 위협으로 떠오르고 있다.

31일 한국인터넷진흥원(KISA)에 따르면 지난해 스미싱 탐지 및 차단 건수는 219만6469건으로, 2023년 50만3300건에 비해 4배 이상 증가했다. 유형별로는 공공기관 사칭이 125만8228건으로 가장 많았고 계정 탈취(45만9707건), 지인 사칭(36만3622건) 순이었다.

올해 1~2월 사이 사칭 유형별 스미싱 탐지 건수를 보면 SNS 계정 탈취가 21만8000여 건으로 가장 많았고 공공기관을 사칭한 사례도 15만8000여 건에 달했다. 카드사를 사칭해 "카드가 정상 발급됐다"거나 "해외쇼핑 결제가 완료됐다"는 문자로 유인한 뒤, 전화로 정상 원격제어 앱을 설치하도록 유도해 금융정보를 탈취하는 수법이 증가하고 있다.

이처럼 스미싱 공격 수법이 점점 다양해지는 가운데, 해외에서 급증하고 있는 '큐싱'에 대한 우려가 커지고 있다. QR코드를 이용한 '큐싱'은 무료 쿠폰이나 상품권 지급을 미끼로 QR코드를 스캔하게 한 뒤 악성 앱을 설치하도록 유도하는 방식이다.

김은성 KISA 스미싱대응팀 팀장은 "QR코드는 누구나 오픈 API로 쉽게 생성할 수 있고, 육안으로는 악성 여부를 전혀 구분할 수 없다"며 "스미싱은 최소한 의심스러운 문구라도 확인할 수 있지만, QR코드는 그런 단서조차 없어 더 위험하다"고 경고했다.

현재 국내에서 큐싱 피해 사례가 공식 신고된 건 없지만, 중국·말레이시아·홍콩 등 QR코드 사용률이 높은 국가들에서는 이미 심각한 피해가 보고되고 있다.

김 팀장은 "스미싱 범죄 유형도 세계화되고 있어 해외 사례가 국내로 유입될 가능성이 높다"며 선제적 대응의 필요성을 강조했다.

이러한 위협에 대응하기 위해 KISA는 올해 1월 31일부터 '큐싱 확인서비스'를 개시해 카카오톡 '보호나라' 채널을 통해 QR코드 악성 여부를 확인할 수 있는 기능을 제공하고 있다.

이와 함께 '악성문자 X-ray 시스템'도 운영 중이다. 이 시스템은 기업메시징 서비스 제공 사업자가 요청 받은 대량 발송 문자 내 포함된 인터넷주소(URL)에 대해 악성 여부를 분석하고, 악성으로 판정 시 문자 발송을 차단한다.

김 팀장은 "문자에 포함된 URL이나 QR코드를 클릭하거나 스캔하기 전에 발신자를 확인하고, 의심스러운 경우 KISA 보호나라 채널을 통해 스미싱·큐싱 여부를 확인하는 습관이 중요하다"고 당부했다. 이어 "전화 통화 중 앱 설치를 요구하는 경우는 스미싱일 가능성이 매우 높다"라며 "스마트폰을 최신 상태로 업데이트하고 정상 스토어에서 직접 검색해 앱을 설치할 것"을 권고했다.