QR 코드 보안: 2026년 큐싱(Quishing) 사기 예방 가이드
2024년, QR 코드 피싱 공격 — "퀴싱(quishing)"으로 알려진 — 이 사이버보안 기업들의 추적에 따르면 500% 이상 증가했습니다. 2025년 말까지 퀴싱은 피싱 분야에서 가장 빠르게 성장하는 공격 수법 중 하나가 되었습니다. QR 코드가 식당, 주차 미터기, 명함, 비즈니스 네트워킹 등 어디에나 사용되는 지금, 그 위험을 이해하는 것은 선택이 아닌 필수입니다.
퀴싱(Quishing)이란?
퀴싱은 QR 코드를 이용한 피싱입니다. 이메일이나 문자 메시지에 악성 링크를 직접 넣는 대신, 공격자가 QR 코드 안에 링크를 인코딩합니다. 휴대폰으로 코드를 스캔하면 브라우저에서 악성 URL이 열리며, 대부분 자격 증명을 탈취하기 위해 설계된 그럴듯한 가짜 로그인 페이지입니다.
퀴싱이 효과적인 이유는 QR 코드가 불투명하기 때문입니다. 하이퍼링크는 마우스를 올리면 URL을 미리 볼 수 있지만, QR 코드는 스캔하기 전까지 목적지를 알 수 없습니다. 이 불투명성이 QR 코드를 유용하면서도 위험하게 만드는 요인입니다.
퀴싱 공격 방식
- 물리적 덮어씌우기: 공격자가 주차 미터기, 식당 테이블, 공공 포스터 등에 있는 정상 QR 코드 위에 악성 QR 코드 스티커를 부착합니다.
- 이메일 삽입: 피싱 이메일에 QR 코드를 포함시킵니다. URL은 스캔하지만 QR 코드는 읽지 못하는 텍스트 기반 이메일 보안 필터를 우회합니다.
- 위조 명함: LinkedIn 프로필 대신 자격 증명 수집 페이지로 연결되는 QR 코드가 있는 위조 명함입니다.
- 행사 악용: 컨퍼런스와 전시회에서 공격자가 멀웨어 다운로드로 연결되는 QR 코드가 있는 전단지나 배지를 배포합니다.
문제의 규모
수치는 심각합니다. SlashNext의 2025년 보고서에 따르면, 퀴싱 공격은 전체 피싱 공격의 2023년 0.8%에서 2025년 4.8% 이상으로 6배 증가했습니다. Abnormal Security는 퀴싱 공격의 89%가 자격 증명 탈취를 목표로 하며, Microsoft 365와 Google Workspace 로그인 페이지가 가장 많이 위장된다고 보고했습니다.
FBI는 2024년 미국 전역의 주차 미터기와 주유소에서 발생하는 QR 코드 사기에 대해 공개 경고를 발표했습니다. 영국에서는 Action Fraud가 2023년과 2025년 사이에 QR 코드 사기 신고가 300% 증가했다고 보고했습니다.
가짜 QR 코드를 식별하는 방법
QR 코드를 시각적으로 "읽을" 수는 없지만, 주의해야 할 경고 신호가 있습니다:
- 스티커 덮어씌우기: QR 코드가 다른 표면 위에 붙인 스티커처럼 보인다면 — 특히 주차 미터기, ATM, 식당 메뉴에서 — 스캔하지 마십시오. 정상적인 QR 코드는 일반적으로 표면에 직접 인쇄되어 있습니다.
- 예상치 못한 맥락: 원치 않는 이메일, 문자 메시지, 전단지에 있는 QR 코드는 의심해야 합니다. 정상적인 기업이 "계정 인증"이나 "경품 수령"을 위해 QR 코드 스캔을 요청하는 경우는 거의 없습니다.
- URL 불일치: 스캔 후 탭하기 전에 URL을 확인하십시오. LinkedIn 명함에 있는 QR 코드인데 URL에
linkedin.com이 포함되어 있지 않다면 진행하지 마십시오. - 단축 URL: bit.ly, tinyurl 등 URL 단축기로 연결되는 QR 코드는 주의하십시오. 이들은 실제 목적지를 숨깁니다. 정상적인 프로페셔널 QR 코드는 목표 페이지로 직접 연결됩니다.
- 낮은 인쇄 품질: 다른 자료는 전문적인데 QR 코드만 흐릿하거나, 중앙에서 벗어나거나, 크기가 이상하다면 변조를 의심할 수 있습니다.
자기 보호 방법
1. 클릭 전 미리보기 확인
대부분의 최신 스마트폰 카메라는 QR 코드를 비추면 URL 미리보기를 표시합니다. 탭하기 전에 URL을 주의 깊게 읽으십시오. 오타(linkedin.com 대신 linkedln.com), 생소한 도메인, 의심스러운 경로가 없는지 확인하십시오.
2. 보안 기능이 있는 QR 스캐너 사용
일부 QR 스캐너 앱은 URL을 열기 전에 알려진 피싱 데이터베이스와 대조합니다. Kaspersky QR Scanner, Norton Snap 같은 앱이나 iOS 17+ 및 Android 14+의 내장 카메라 앱이 URL 미리보기와 기본 안전 검사를 제공합니다.
3. 스캔 후 절대 자격 증명 입력 금지
QR 코드 스캔 후 로그인 페이지가 나타나면 멈추십시오. 브라우저나 앱에서 해당 서비스에 직접 접속하십시오. 정상적인 LinkedIn QR 코드는 공개 프로필 페이지로 이동합니다. 로그인을 요구하지 않습니다.
4. 물리적 QR 코드 검증
매장이나 시설에 있다면 직원에게 QR 코드가 정상인지 확인하십시오. 행사에서는 공식 자료의 QR 코드만 스캔하고, 출처를 알 수 없는 전단지나 배포물의 코드는 피하십시오.
5. 폰 업데이트 유지
iOS와 Android는 악성 웹사이트를 통해 악용될 수 있는 보안 취약점을 정기적으로 패치합니다. 폰 OS와 브라우저를 최신 상태로 유지하는 것은 기본적이지만 중요한 방어입니다.
LinkedIn QR 코드가 더 안전한 이유
모든 QR 코드가 동일한 위험을 가진 것은 아닙니다. 저희 무료 생성기 같은 도구로 만든 LinkedIn QR 코드에는 몇 가지 내장된 안전 이점이 있습니다:
- 직접 URL: QR 코드가
linkedin.com/in/your-profile로 직접 연결됩니다. 리디렉트, URL 단축기, 트래킹 픽셀이 없습니다. - 인식 가능한 목적지: 코드를 스캔하면 미리보기에
linkedin.comURL이 표시되어 쉽게 확인할 수 있습니다. - 데이터 수집 없음: 정적 QR 코드(저희 코드 포함)는 어떤 제3자 서버도 거치지 않습니다. URL이 QR 패턴에 직접 인코딩되어 있습니다.
- 클라이언트 측 생성: LinkedIn URL은 생성 과정에서 브라우저를 벗어나지 않습니다. 침해당할 서버 자체가 없습니다.
- 시각적 신뢰 신호: LinkedIn 로고가 포함된 QR 코드(저희 코드 포함)는 목적지에 대한 즉각적인 시각적 단서를 제공합니다.
QR 코드 보안 체크리스트
| 확인 항목 | 안전 | 의심 |
|---|---|---|
| URL 미리보기 | 예상된 도메인 표시 | 알 수 없거나 오타가 있는 도메인 |
| 물리적 배치 | 재료에 직접 인쇄 | 기존 코드 위에 스티커 |
| 목적지 | 공개 페이지 또는 정보 | 로그인 페이지 또는 다운로드 |
| URL 형식 | 직접 링크 | URL 단축기 |
| 맥락 | 예상되는 장소 | 원치 않는 이메일 또는 전단지 |
결론
QR 코드는 본질적으로 위험하지 않지만, 본질적으로 불투명합니다. 네트워킹에 유용하게 만드는 바로 그 편리함이 공격자에게도 매력적입니다. 방어법은 간단합니다: 클릭 전에 미리보기를 확인하고, URL을 검증하고, QR 스캔으로 도달한 페이지에서 절대 자격 증명을 입력하지 마십시오. 자신의 QR 코드를 만들 때는 중간 서버 없이 직접적이고 투명한 URL을 생성하는 도구를 사용하십시오 — 저희 LinkedIn QR 코드 생성기처럼.