시사위크=박설민 기자  최근 온·오프라인을 막론하고 가장 많이 사용되는 IT보안 시스템을 하나 꼽으라면 ‘QR코드’라고 할 수 있다. 격자무늬 형태의 정사각형 모양 바코드 QR코드는 최대 4,296자의 문자를 입력할 수 있는 높은 정보 저장 능력 때문에 현 디지털 사회에선 없어서는 안될 기술이다. 특히 최근에는 코로나19 방역을 위한 방역패스 등에 활용도가 높아 그 이용량이 더욱 증가했다.

하지만 IT분야 전문가들은 QR코드가 편리하고 유용한 기술인 것은 사실이지만 사용 시 보안에 주의해야 한다고 경고한다. 보안을 염두에 두지 않는 QR코드 사용은 해킹이나 복제 등 사이버 범죄로 이어질 가능성이 높다는 것이다.

◇ 대량의 정보 담은 QR코드, 온·오프라인에서 보안 위협 받는다

사실 QR코드의 보안 위험성은 스마트폰이 도입된 초기부터 끊임없이 제기된 문제다. 그렇다면 QR코드가 가지고 있는 보안 위협은 무엇이 있을까. 전문가들은 QR코드가 바코드보다 훨씬 많은 양의 정보를 가지고 있으면서도 동시에 ‘공개’돼 있다는 점을 이유로 꼽는다. 

QR코드를 사용하기 위해선 필연적으로 QR코드 그림이 드러날 수밖에 없다. 이때 기존 바코드가 가지고 있던 물건의 가격 수준의 정보가 아니라 전화번호, 주민번호 등 민감한 개인정보까지 포함된 QR코드를 복제하거나 왜곡할 경우 매우 큰 피해로 이어질 가능성이 높다.

문제는 범죄자들이 온라인에서 QR코드가 게재된 홈페이지를 해킹, 변조해 피싱 범죄(금융기관 등으로부터 개인정보를 불법적으로 알아내 이를 이용하는 사기수법)를 저지를 경우, 일반인들이 이를 쉽게 파악하기란 매우 어렵다는 점이다. 컴퓨터를 잘 모르는 일반인들이 보기엔 다 엇비슷해 보이는 그림일 뿐이기 때문이다.

특히 오프라인에서 QR코드 그림을 바꿔치기할 경우엔 파악이 더욱 어려운데, 신문 등 오프라인 출력물인 경우 변조된 QR 코드를 덧붙이기만 하면 되기 때문에 더욱더 손쉽게 공격의 대상이 될 수 있다

이런 QR코드 보안의 취약점은 실제 범죄로 이어지기도 하는데, 바로 신종 개인정보유출 사기인 ‘큐싱(Qshing)’ 범죄다. QR코드와 피싱의 합성어인 큐싱은 QR코드로 악성 앱 설치를 유도하는 신종 사이버 범죄다. QR코드에 악성 앱 URL을 숨겨둔 후 사용자가 QR코드를 찍으면 저절로 스마트폰에 악성코드가 탑재된 앱이 설치된다. 이후 범죄자들은 사용자의 스마트폰에서 각종 개인정보와 금융정보를 탈취한다.

실제로 금융감독원에 따르면 2015년 한 신고자는 은행에서 스마트뱅킹으로 자금이체를 진행하던 중 추가인증이 필요하다며 나타난 QR코드를 스캔했다. 이후 수상한 생각에 은행에 조회를 요청한 결과, 게임머니 등으로 35만원이 자신도 모르는 사이에 결제 처리된 것으로 알려졌다.

ICT 보안 전문기업 SK쉴더스(전 ADT캡스)는 자사 블로그를 통해 “QR코드 사기를 예방하기 위해선 무엇보다 출처가 불확실한 QR코드 촬영은 자제하는 것이 중요하다”며 “큐싱 사기는 QR코드를 스캔하기 전까지 관련 내용을 알 수 없다는 점을 악용한 것이 특징”이라고 경고했다.

이어 “검증되지 않거나 의심스러운 QR코드는 가급적 인식하지 않고, 설사 QR코드를 인식했더라도 링크로 연결된 앱을 설치하지 말아야 한다”며 “앱은 검증된 공식 마켓에서 다운로드하며, 공식 마켓에서도 악성 앱이 유포되는 경우가 있기 때문에 다운로드 전에는 꼭 사용자 리뷰를 확인하는 것이 좋다”고 조언했다.

◇ 편리한 QR코드, 안전하게 사용하려면?

그렇다면 큐싱 등 신종 사이버 범죄의 위협에서 안전하고 편리하게 QR코드를 사용할 수 있는 방법은 무엇일까. 

양형규 강남대학교 ICT융합공학부 교수는 2012년 한국인터넷방송통신학회에 개제한 논문 ‘QR 코드의 보안 취약점과 대응 방안 연구’에서 ‘통합 URL 검증 사이트’ 운영과 ‘QR 코드의 무결성 검증 및 인증’이 QR코드의 보안 약점을 강화해줄 수 있는 방법이라고 설명했다.

첫 번째 ‘통합 URL 검증 사이트’ 운영은 QR코드의 스캔 결과값을 악성 URL 데이터베이스와 비교한 후 정상적인 URL로 판정한 경우에만 연결하도록 하는 것이다.

통합 URL 검증 사이트 운영 방법은 다음과 같다. 먼저 사용자가 어떤 QR코드를 스캔하면, 사이트 내에 탑재된 스캐너가 해당 코드를 스캔하고 해당 URL을 검증사이트에 전송한다. URL을 전송받은 검증 사이트는 악성 URL 목록과 비교해 QR코드 인증 가능 여부를 다시 사용자의 스마트폰으로 전송하게 된다.

두 번째 ‘QR코드 무결성 검증 및 인증’ 방법은 QR코드 내에 기본 코드와 인증 코드 두가지를 탑재하는 방식이다. 첫 번째 QR코드에는 URL과 같은 정보가 포함돼 있으며, 두 번째 코드에는 첫 번째 QR코드에 대한 인증값이 포함돼 정보의 무결성을 검증하게 된다.

다만 양형규 교수는 두가지 방법 모두 QR코드 보안을 높일 수 있는 해결책이라고 보면서도 한계점이 있다고 봤다.

양형규 교수는 “통합 URL 검증 사이트를 이용할 경우 잠재적인 악성 URL을 포함해 모든 악성 URL을 확인할 수 있어야 하는데, 이는 현실적으로 매우 어려운 문제”라며 “만약 악성 URL을 효율적으로 식별할 수 없다면 사용자에게 정확한 정보를 줄 수 없기 때문에 오히려 더 위험한 결과를 초래할 수도 있다”고 지적했다.

이어 QR코드 무결성 및 인증 방법에 대해서는 “모든 공격을 막을 수 있는 방법이지만 인증서 검증 등으로 인해 사용자 단말의 연산 부담이 높다는 단점이 있다”며 “인증서 검증을 온라인으로 처리할 수도 있지만, 사용자 단말에서는 서명 검증 등의 추가 연산이 필요하다”고 평가했다.

아울러 우리나라 정부도 모바일 결제를 중심으로 결제시장의 혁신이 활성화되는 추세임에 따라 QR코드 보안성 강화의 중요성을 인지하고 이에 대한 결제 표준을 제정 및 공표한 상태다. 지난 2018년 11월 금융위원회가 공표한 QR코드 결제 표준안을 살펴보면 다음과 같다.

먼저 금융위원회 결제 표준안에 따르면 QR코드를 발급할 시 국제 표준에 따라 QR코드 최신 모델로 발급해야 한다. 위조 및 변조 방지를 위해 QR코드 내 자체 보안기능을 갖추고 민감한 개인·신용정보도 포함해서는 안된다.

또한 소비자가 스캔할 때마다 거래금액을 입력하는 고정형 QR의 경우, 특수필름 부착과 잠금장치 설치 등 별도의 위조 및 방지조치를 갖춰야 하며, 변동형 QR의 경우 보안성 기준을 충족한 앱(발급 유효시간 3분)을 통해 QR코드를 발급하도록 한다.

QR코드 이용 시에는 결제사업자는 해킹 방지 대책을 세워야 하며, 소비자와 가맹자는 보안성이 인정되지 않은 임의의 QR코드 스캐너 등을 사용해선 안된다. QR코드 파기 시에는 가맹 점주의 경우 가맹점 탈퇴·폐업 즉시 QR코드 파기 후 가맹점 관리자에게 신고해야 하며, 결제사업자는 유효하지 않은 QR코드 대해 결제차단 등의 조치를 취해야 한다.