QR 코드 안전할까? 큐싱(QR 피싱) 예방법
QR 코드에 숨은 위험과 큐싱(QR 피싱) 수법, 스캔 전 링크를 확인하는 방법과 매장의 대응책을 정리했습니다.
식당 테이블의 메뉴판, 주차장 정산기, 거리의 포스터까지 QR 코드는 일상 곳곳에 들어와 있습니다. 그만큼 “이거 스캔해도 괜찮을까?”라는 걱정도 자연스럽게 따라옵니다. 결론부터 말하면 QR 코드 자체는 위험한 물건이 아닙니다. 문제는 코드가 아니라 그 코드가 데려가는 목적지에 있습니다.
QR 코드 자체는 위험하지 않습니다
QR 코드는 글자나 주소를 점 패턴으로 바꿔 담은 그림일 뿐입니다. 코드를 스캔하는 것만으로 스마트폰이 곧바로 감염되는 일은 거의 없습니다. 진짜 위험은 스캔 이후에 열리는 웹사이트에서 시작됩니다. 그곳에서 아이디와 비밀번호를 입력하거나 결제 정보를 넣는 순간 문제가 생기는 것이죠. 즉 QR 코드는 봉투에 적힌 주소와 같고, 위험한 것은 그 주소가 가리키는 장소입니다. 그래서 안전을 지키는 열쇠도 코드를 무서워하는 것이 아니라, 도착지를 확인하는 습관에 있습니다.
큐싱(QR 피싱)이란 무엇일까요
큐싱은 QR(Quick Response)과 피싱(Phishing)을 합친 말로, QR 코드를 미끼로 가짜 사이트에 유도해 계정이나 결제 정보를 빼내는 수법입니다. 진짜와 똑같아 보이는 로그인 화면이나 결제 페이지를 띄워 놓고, 사용자가 스스로 정보를 입력하게 만듭니다. 문자나 이메일로 오는 피싱과 목적은 같지만, QR 코드는 눈으로 봐서는 어디로 연결되는지 알 수 없다는 점이 더 까다롭습니다.
공공장소의 가짜 스티커를 조심하세요
가장 흔한 수법은 실제 공간에 가짜 코드를 덧붙이는 것입니다. 주차장 정산기, 식당 테이블, 전기차 충전기, 거리 포스터 등에 붙은 진짜 QR 코드 위에 감쪽같이 가짜 스티커를 덮어 붙입니다. 이용자는 정식 시설에 있으니 당연히 믿고 스캔하지만, 실제로는 공격자의 사이트로 이동하게 됩니다. 오프라인의 신뢰감을 역이용하는 방식이라 온라인 피싱보다 방심하기 쉽습니다. 특히 결제나 정산이 필요한 장소일수록 “여기서 내야 하나 보다” 하고 별다른 의심 없이 정보를 넣기 쉬워, 공격자들이 즐겨 노리는 지점입니다.
스캔하기 전에 주소부터 확인하세요
대부분의 스마트폰 카메라는 QR 코드를 비추면 연결될 주소를 미리 보여 줍니다. 바로 누르지 말고 이 미리보기를 먼저 확인하는 습관이 가장 효과적인 방어입니다. 아래 신호가 보이면 열지 마세요.
| 확인 항목 | 안전한 예 | 의심 신호 |
|---|---|---|
| 도메인 | 잘 아는 브랜드 정식 주소 | naver-login.xyz 같은 유사 도메인 |
| 주소 형태 | 명확한 회사 주소 | 정체불명의 단축 URL |
| 요구 내용 | 메뉴 보기, 정보 안내 | 갑작스러운 로그인·결제 요구 |
| 어조 | 차분한 안내 | ”지금 즉시” 식의 재촉 |
위험 신호와 개인 안전 습관
예상하지 못한 로그인, 결제, 주민번호 같은 개인정보를 요구하거나 “지금 바로 처리하지 않으면 불이익” 같은 재촉이 있다면 큐싱을 의심해야 합니다. 평소에는 이런 습관이 도움이 됩니다. 검증되지 않은 QR로 이동한 페이지에는 로그인하지 않기, 결제는 앱을 직접 열어 진행하기, 조금이라도 이상하면 주소창을 다시 읽어 보기입니다. 급할수록 한 박자 멈추는 것이 핵심입니다.
매장·사업자를 위한 대응책
손님에게 코드를 내미는 쪽이라면 신뢰를 지키는 것도 중요합니다. 코드 옆에 도착하는 정식 도메인을 함께 적어 손님이 눈으로 대조하게 하고, 신뢰할 수 있는 자사 도메인만 사용하세요. 출력물은 코팅하거나 변조 방지 필름을 씌우고, 직원이 주기적으로 가짜 스티커가 덧붙여지지 않았는지 점검하는 절차를 두는 것이 좋습니다. 안전한 코드를 직접 만들고 싶다면 QR 코드 만들기 도구로 자사 주소를 담아 발급하고, 매장 와이파이 QR도 정식 안내물과 함께 비치하면 손님이 더 안심할 수 있습니다. 코드의 종류와 관리 방식이 궁금하다면 정적 QR과 동적 QR의 차이도 함께 참고해 보세요.
자주 묻는 질문
QR 코드는 스캔만 해도 위험한가요? 스캔 자체로 기기가 감염되는 경우는 드뭅니다. 진짜 위험은 스캔 뒤 연결되는 사이트에서 로그인이나 결제 정보를 입력할 때 생깁니다. 카메라 미리보기로 주소를 먼저 확인하고 이상하면 열지 않으면 됩니다.
큐싱과 일반 피싱은 무엇이 다른가요? 목적은 같지만 접점이 다릅니다. 문자나 이메일 링크 대신 QR 코드가 미끼가 되며, 특히 주차장이나 식당 테이블처럼 오프라인 공간에서 가짜 스티커를 덧붙이는 방식이 특징입니다. 실물이라 더 믿게 되는 점을 노립니다.
매장에서 손님을 큐싱으로부터 지키려면 어떻게 하나요? 코드 옆에 도착하는 정식 도메인을 함께 적어 손님이 대조하게 하고, 신뢰할 수 있는 자사 도메인만 사용하세요. 스티커는 코팅하거나 변조 방지 처리를 하고, 직원이 주기적으로 코드가 덧붙여지지 않았는지 점검하는 것이 좋습니다.