큐싱 (Qshing)

큐싱(Qshing)

• 큐싱(Qshing)은 QR 코드(QR Code)와 피싱(Phishing)의 합성어로, QR 코드를 이용한 피싱 공격을 의미합니다.
• 공격자는 악성 QR 코드를 생성하여 피해자가 스캔하도록 유도하고, 이를 통해 악성 웹사이트로 접속하게 하거나 악성 앱을 설치하도록 유도합니다.

큐싱 공격 방식

1. 악성 QR 코드 생성
   • 공격자가 악성 웹사이트로 연결되는 QR 코드를 생성합니다.
   • QR 코드에 금융정보 탈취, 악성 앱 다운로드, 로그인 정보 입력을 유도하는 링크가 포함될 수 있습니다.
2. 공격 QR 코드 배포
   • 이메일, 문자(SMS), SNS 등에 QR 코드를 포함하여 배포
   • 공공장소(ATM, 포스터, 전단지 등)에 QR 코드 스티커를 붙여 유포
3. 피해자 QR 코드 스캔
   • 피해자가 QR 코드를 스캔하면 악성 사이트로 이동하거나 악성 앱이 다운로드됨
   • 사용자 입력 정보를 빼내거나 스마트폰을 악성코드에 감염시킴
4. 개인정보 및 금융정보 탈취
   • 피싱 페이지에서 아이디/비밀번호 입력을 유도하여 계정 탈취
   • 악성 앱을 통해 스마트폰의 정보를 빼내거나 금융사기를 실행

큐싱 예방법

1. QR 코드 신뢰 여부 확인

• 공공장소에 부착된 QR 코드가 위변조되지 않았는지 확인
• 출처가 불분명한 QR 코드 스캔 자제

2. QR 코드 스캔 후 URL 확인

• QR 코드 스캔 후 이동하는 웹사이트의 URL을 반드시 확인
• 금융 기관이나 공공기관인 경우 공식 웹사이트 주소인지 검증

3. QR 코드 앱 다운로드 주의

• QR 코드로 앱을 다운로드하지 말고 공식 앱스토어(Play Store, App Store)를 통해 다운로드

4. 이중 인증(2FA) 활성화

• 계정 보안을 위해 이중 인증을 설정하여 피해를 최소화

5. 스마트폰 보안 강화

• 백신 프로그램 설치 및 최신 보안 업데이트 유지
• 알 수 없는 출처의 앱 설치 차단