기자가 고등학교 2학년 때 있었던 일이다. 당시 학교에서는 급식을 배식받기 위해 학생증에 그려진 바코드를 찍고 식당으로 들어가야 했다. 그런데 어느 날 기자가 사용하던 학생증 바코드 일부가 지워져 식당에 들어갈 수 없게 됐다.

이때 반에서 그림을 잘 그리는 친구 하나가 학생증 바코드의 지워진 부분을 자와 매직펜을 이용해 그려줬고, 식당 출입구에 설치된 키오스크는 이 바코드를 정확히 인식했다. ‘혹시나’ 하는 마음에 친구들과 해본 ‘바코드 그리기’가 기계를 속이는데 성공한 셈이다. 

문제는 이 같은 학창시절의 재미있는 해프닝 중 하나가 실제 범죄로 이어질 수 있다는 점이다. 최근 방역패스 등으로 인해 이용량이 급격히 증가한 ‘QR코드’ 때문이다. 

QR코드는 정사각형 모양의 2차원 코드로 가로, 세로 배열을 활용해 숫자는 최대 7,089자, 문자는 최대 4,296자까지 저장할 수 있다. 가로 배열에 최대 20여 자의 숫자 정보만 넣을 수 있는 1차원적 구성인 기존의 바코드보다 훨씬 많은 정보를 담을 수 있기 때문에 디지털 전환 시대에서 핵심적인 역할을 한다.

하지만 QR코드의 보안 위험성에 대한 우려는 도입 초기부터 끊임없이 제기돼왔다. QR코드를 사용하기 위해선 필연적으로 QR코드 그림이 드러날 수밖에 없기 때문이다. 단순히 물품의 가격이나 이름 등 간단한 정보를 담고 있던 바코드를 넘어 백신 접종 이력, 주민번호, 집 주소 등 민감한 개인정보를 가득 담고 있는 QR코드가 유출되는 것은 매우 위험한 사회적 문제로 커질 수도 있다.

실제로 유튜브와 온라인 커뮤니티 등을 살펴보면 QR코드를 ‘손’으로 그려도 컴퓨터가 인식 가능할 수 있다는 실험 결과가 다수 존재하고 있다. 물론 QR코드를 직접 그리는 것은 매우 어려운 일이겠지만 이를 따라 그릴 경우, 상대방의 개인정보를 유출시킬 가능성은 충분히 존재하는 셈이다. 심지어 온라인 뉴스 홈페이지나 커뮤니티 등에 모자이크 처리가 되지 않은 채 올라온 QR코드를 스마트폰 카메라로 촬영할 경우, QR코드를 읽을 수 있는 경우도 있다.

뿐만 아니라 범죄자들이 온라인에서 QR코드가 게재된 홈페이지를 해킹, 변조해 피싱 범죄(금융기관 등으로부터 개인정보를 불법적으로 알아내 이를 이용하는 사기수법)를 저지르는 이른 바 ‘큐싱(Qshing)’ 범죄로 인한 피해도 꾸준히 발생하는 추세다.

QR코드의 정보보안 위협 문제를 막기 위해서는 QR코드를 검증해 악성 URL 접속을 막거나 QR코드 내에 기본 코드와 인증 코드 두 가지를 탑재해 사전에 변조와 악용을 방지하는 것이 대응책이 될 수 있다.

그러나 이러한 대책들의 경우, 악성 URL을 전부 조회해 접속을 막는 것이 매우 어렵고, QR코드 연산 부담을 높여 서비스 품질을 떨어지게 한다는 명확한 한계도 존재한다. 뿐만 아니라 앞서 설명한 것처럼 QR코드 자체가 유출 당해 발생할 수 있는 개인정보 탈취와 관련된 범죄에는 효과가 미미하다. 

결국 IT보안 전문가들은 QR코드를 사용하는 이용자들 스스로가 정보유출문제를 방지하기 위해 주의하는 것이 가장 안전한, 그리고 유일한 QR코드 개인정보보호 대책이라고 보고 있다. 금융위원회 등 해당 문제를 담당하는 정부기관들 역시 관련 문제에 대한 가이드라인들만 제시할 뿐 확실한 ‘기술적 대응책’을 마련하진 않은 상황이다.

매일같이 ‘디지털 전환 시대’가 다가오고 있다는 뉴스가 쏟아져 나오는 현재 정보보안문제는 그 어느 때보다 중요한 과제다. 정부와 기업이 세계적 트렌드에 맞춰 디지털 전환을 앞당기는 것은 분명 필요한 일이다. 하지만 디지털 전환 시대의 ‘알파이자 오메가’를 차지하고 있는 QR코드를 보다 안전하고 편리하게 사용할 수 있는 기술적 대응책 마련을 먼저 고민해야할 때가 아닌가 싶다.

저작권자 © 시사위크 무단전재 및 재배포 금지
이 기사를 공유합니다