최근 서울 도심 곳곳의 엘리베이터에 정체를 알 수 없는 QR코드 스티커가 붙어 주민들의 불안이 커지고 있다. 최근 QR코드를 이용한 피싱 수법, 이른바 ‘큐싱’이 주거지와 사무공간을 가리지 않고 퍼지고 있어 주의가 요구되고 있다.
25일 서울 강남구 세곡동의 한 오피스텔에서 거주 중인 30대 여성 A씨는 엘리베이터 광고 화면을 촬영하다가 낯선 QR코드를 발견했다. A씨는 “광고판 아래쪽에 스티커가 덧붙어 있었다”며 “잘못 눌렀으면 이상한 사이트로 연결될 뻔했다”고 전했다. 이어 “요즘은 스캔만 해도 해킹된다는 이야기가 많아 무섭다”고 덧붙였다.
서울 중구의 한 공유오피스에서도 비슷한 일이 있었다. 20대 남성 B씨는 “누가 붙였는지 모를 QR코드가 사무실 벽에 있었다”며 “링크를 눌렀더니 접속이 차단됐다는 문구가 떠 의심이 들었다”고 말했다.
이 같은 가짜 QR코드 스티커는 온라인 커뮤니티에서도 화제가 됐다. 한 커뮤니티에는 “종로의 D빌딩 엘리베이터에서 QR스티커를 발견해 즉시 제거했다”는 글이 올라왔고 다른 사용자들도 “비슷한 스티커를 봤다”며 주의를 당부했다.
경찰은 QR코드 피싱 피해가 확산되는 만큼 각별한 주의를 당부했다. 서울경찰청 사이버수사과는 “공공장소에 부착된 QR이 덧붙여진 것인지 반드시 확인해야 한다”며 “악성 앱 설치가 의심되면 경찰청의 ‘시티즌 코난’ 앱으로 점검이 가능하다”고 밝혔다.
큐싱 수법은 엘리베이터뿐 아니라 전동킥보드나 공유자전거 등에도 확산되고 있다. ‘정책자금 지원’이나 ‘행사 참가 신청’처럼 그럴듯한 안내문으로 위장한 QR코드가 개인정보를 요구하거나 악성 앱을 설치하도록 유도하는 사례가 잇따르고 있다.
보안 QR 전문업체 ‘핸드오더’의 최유미 대표는 “QR코드의 활용도가 높아지면서 악용 사례도 동시에 늘고 있다”며 “전자잉크와 전자종이 기술을 적용해 보안성을 강화하고 있다”고 말했다.
서울시설공단은 올해 초 공유자전거 이용자들에게 주의문을 발송했다. 전동킥보드의 경우 진짜 QR 위에 가짜를 덧붙이는 수법이 대표적이다. 한 IT 유튜버는 “가짜 QR이 진짜 위를 덮고 있어 구분이 어렵다”고 설명했다.
전문가들은 출처가 확실하지 않은 QR코드는 스캔을 피하고, 접속하더라도 개인정보 입력이나 앱 설치는 절대 해서는 안 된다고 조언한다.
큐싱방지안심큐알인증협회 최경호 회장은 “2027년부터 대부분의 제품과 시설에 QR코드가 도입될 예정”이라며 “보안 체계가 미비하면 개인정보 유출 위험이 폭발적으로 늘 수 있다”고 경고했다.
한편 QR코드가 결제, 인증, 행정서비스 등 일상 전반으로 확대되면서 보안 강화의 필요성이 커지고 있다. 경찰과 관련 기관은 백신 프로그램 설치, 공식 사이트 확인, 의심 QR 신고를 통해 선제적으로 대응해야 한다고 강조했다.