QR코드 찍기 전에 확인해야 할 3가지 안전수칙

1. QR코드의 원리와 보안 취약점 이해하기

스마트폰 사용자라면 누구나 한 번쯤 QR코드를 스캔해 본 경험이 있을 것이다. QR코드는 Quick Response의 약자로, 정보를 빠르게 전달할 수 있는 이차원 바코드다. 간편한 방식 덕분에 식당 메뉴판, 출입 등록, 결제, 이벤트 참여 등 다양한 상황에서 사용된다. 하지만 이 편리함 이면에는 보안 취약점이 존재한다. QR코드는 겉으로 보기엔 단순한 이미지처럼 보이지만, 내부에는 링크(URL), 전화번호, 위치 정보, 앱 설치 명령 등 다양한 실행 명령이 담겨 있다. 문제는 사용자가 QR코드를 스캔하는 순간, 해당 정보가 자동 실행되기 때문에 악의적인 코드가 숨어 있어도 육안으로는 구별이 어렵다는 점이다. 이 때문에 해커나 사기범은 공공장소에 QR코드를 위조해 붙이거나, 광고물 위에 스티커를 덧붙이는 방식으로 QR 피싱을 시도한다. 사용자는 아무 의심 없이 QR코드를 찍는 순간, 악성 앱이 설치되거나 가짜 웹사이트로 연결되어 개인정보를 입력하게 될 수 있다. 따라서 QR코드의 구조와 보안 위협을 이해하는 것이 안전한 사용의 첫걸음이다.

 

2. 출처가 불분명한 QR코드는 절대 찍지 말 것

QR코드 스캔 전 반드시 확인해야 할 첫 번째 수칙은 ‘누가 만들었는가’이다. 공식 기관, 신뢰할 수 있는 기업이 배포한 QR코드인지 명확하지 않다면 절대 스캔해서는 안 된다. 특히 길거리 배너, 주차장, 엘리베이터, 전단지 등에 부착된 QR코드는 대부분 검증되지 않은 경우가 많다. 사기범은 정식 광고 위에 위조된 QR코드 스티커를 덧붙이거나, 유사한 디자인의 QR코드를 만들어 가짜 이벤트 페이지로 유도한다. 그 안에서 개인정보 입력을 요구하거나 앱 설치를 권장하며, 결국 사용자의 기기를 감염시키는 방식이다. 이러한 방식은 실제 피해 사례로 이어지기도 했다. 2023년 서울의 한 카페에서는 고객 설문 이벤트를 사칭한 QR코드를 테이블 위에 부착해, 수백 명의 고객이 가짜 링크에 접속하게 된 사건이 있었다. 출처 불명 QR코드는 언제든지 악성코드의 매개체가 될 수 있으므로, 반드시 신뢰할 수 있는 경로에서 제공된 것인지 판단해야 한다. 정상 QR코드는 대부분 공식 사이트, 앱 내, 또는 직원의 안내를 통해 전달되는 것이 일반적이다.

 

3. QR코드 스캔 후 뜨는 링크는 반드시 확인

두 번째 안전수칙은 QR코드를 스캔한 뒤 바로 뜨는 URL을 무조건 확인하는 것이다. 스마트폰 대부분의 QR 스캐너는 링크를 직접 열기 전에 화면에 주소를 보여준다. 이때 주소가 정식 도메인인지, 이상한 문자열이나 서브도메인(.xyz, .top 등)이 포함되어 있는지 반드시 살펴봐야 한다. 예를 들어, "https://event.kakao.com"은 정식 도메인이지만 "https://event.kakao-official.xyz"는 전혀 다른 피싱 사이트일 수 있다. 이처럼 유사한 이름의 가짜 사이트는 사용자로 하여금 착각하게 만들며, 로그인이나 결제 정보를 입력하도록 유도한다. 이런 수법은 파밍 공격이라고 불리며, 피해자는 본인의 정보가 탈취된 사실조차 모른 채 사용한다. 특히 금융기관을 사칭한 QR코드 링크는 주의가 더욱 필요하다. 사용자가 가짜 은행 페이지에 접속해 공인인증서 비밀번호나 계좌 정보를 입력하면, 범죄자는 이를 이용해 예금을 인출하거나 대출까지 시도할 수 있다. 따라서 QR코드 링크는 클릭 전 반드시 도메인 전체를 읽고, 이상한 점이 있다면 절대 열지 않는 것이 중요하다.

 

4. 스마트폰 설정과 보안 앱으로 선제적 차단

세 번째 안전수칙은 사용자의 스마트폰을 QR코드 기반 공격에 강하게 만드는 것이다. 우선, QR코드를 스캔할 때 항상 기본 카메라 앱 또는 공식 QR 리더기 앱을 사용하는 것이 중요하다. 무분별하게 설치한 QR 리더기는 오히려 광고 또는 악성코드를 포함할 수 있다. 다음으로, 스마트폰 설정에서 출처를 알 수 없는 앱 설치 제한 기능을 활성화하면 QR코드를 통해 자동 설치되는 앱을 차단할 수 있다. 안드로이드 기준으로는 ‘설정 > 보안 > 알 수 없는 앱 설치 제한’을 켜두는 방식이다. 또한, 백신 앱이나 모바일 보안 앱을 설치해 실시간으로 악성 링크를 탐지하고 차단하는 것도 효과적이다. 구글 플레이 프로텍트나 삼성 스마트 매니저, 애플의 시스템 보안 기능도 주기적으로 점검하도록 하자. 마지막으로, QR코드를 자주 사용하는 사용자라면 QR코드 보안 점검 기능이 탑재된 앱을 활용하는 것도 추천한다. 이러한 보안 습관은 단 한 번의 실수로 인한 금전 피해, 개인정보 유출, 기기 감염을 미연에 방지하는 최선의 방법이다.