대부분의 QR 기반 공격은 기술적 취약점을 노리는 것이 아니라 위험 신호를 모르는 사람을 대상으로 합니다. QR 코드를 이용한 피싱(흔히 "쿠싱"이라 불림)은 이메일 필터를 우회하고 의심스러운 링크보다 더 신뢰할 수 있어 보이기 때문에 급격히 증가하고 있습니다. 소상공인을 운영하거나 인쇄 자료, 결제 단말기, 공급업체 통신을 다루는 팀을 관리한다면 30분 정도의 보안 교육 세션은 가장 경제적인 보안 투자 중 하나입니다.
지금 바로 팀과 함께 진행할 수 있는 실용적인 6가지 프레임워크를 소개합니다.
1. QR 코드가 실제로 하는 일 설명하기
위협을 가르치기 전에 먼저 모두가 QR 코드의 작동 원리를 이해하도록 하세요. QR 코드는 단순한 기계가 읽을 수 있는 명령어일 뿐이며, 대개는 URL이지만 때로는 Wi-Fi 자격증명, 전화번호 또는 결제 요청일 수 있습니다. 코드를 스캔하면 그것이 가리키는 곳으로 제어권이 넘어가는데, 이것이 바로 공격자들이 악용하는 지점입니다.
직원들이 QR 코드의 작동 원리에 대한 완벽한 가이드와 같은 이해하기 쉬운 자료를 참고하도록 권유하여 기본 지식을 갖추도록 하세요. 도구를 제대로 이해하는 사람들은 그것을 이용한 속임수에 더 잘 대항할 수 있습니다.
2. "미리보기 후에 진행하기" 습관 가르치기
주요 모바일 OS(iOS 16 이상, Android 13 이상)는 기본 카메라 앱으로 QR 코드를 스캔할 때 브라우저 탭을 열기 전에 URL 미리보기를 표시합니다. 팀에 다음을 훈련시키세요:
- 미리보기 화면에서 멈추기 — 절대 바로 탭하지 않기
- URL의 처음 부분만이 아니라 전체 도메인 읽기. 공격자는
yourbank.com.verify-login.net과 같은 서브도메인을 사용하는데, 실제 도메인은verify-login.net입니다 - HTTPS 확인하기, 하지만 이것을 보장으로 여기지 않기. 피싱 사이트도 유효한 TLS 인증서를 가지고 있습니다
이 단 한 가지 습관만으로도 상당한 기회주의적 쿠싱 공격을 막을 수 있습니다.
3. 물리적 QR 코드에 대한 위험 신호 목록
소매업, 호텔업, 이벤트 산업 직원들은 타사의 인쇄된 QR 코드(메뉴, 송장, 컨퍼런스 자료, 배송 메모)를 자주 접합니다. 그들에게 구체적인 위험 신호 목록을 제시하세요:
| 신호 | 중요한 이유 |
|---|---|
| 기존 코드 위에 붙인 스티커 | 전형적인 변조 방법 |
| 브랜드 표시 없이 평범한 종이에 인쇄된 코드 | 가짜를 만들기 쉬움 |
URL 미리보기가 IP 주소로 연결됨 (예: http://192.168.1.1/…) |
합법적인 비즈니스 사이트는 이렇게 하지 않습니다 |
| 목적지가 약속된 작업과 맞지 않음 | "송장 보기" → 로그인 페이지로 이동 |
| 미청청 우편이나 패키지에 있는 코드 | 고위험 배송 경로 |
4. 결제 및 자격증명 QR 코드 별도로 다루기
결제 QR 코드(송장, 계산대, 주차 미터에서 사용)는 높은 가치의 목표입니다. 자격증명 QR 코드는 Wi-Fi 암호를 자동 채우거나 누군가를 앱에 로그인시키는 종류로, 마케팅 스캔과는 다르게 취급해야 하는 두 번째 범주입니다.
핵심 규칙: 확인되지 않은 출처의 결제 QR 코드는 절대 스캔하지 말고, 별도의 채널을 통해 수취인을 확인하세요. 공급업체가 결제용 QR 코드가 있는 송장을 이메일로 보냈다면 스캔하기 전에 공급업체의 알려진 전화번호로 전화하세요. 이것은 과민반응이 아닙니다. QR을 통한 송장 사기는 충분히 문서화되어 있습니다.
Wi-Fi QR 코드의 경우: 당신이 제어하지 않는 공유 공간의 "게스트 Wi-Fi" 코드를 스캔하기 전에 네트워크 관리자에게 확인하세요.
5. 자체 자료에 대한 내부 QR 코드 표준 설정
혼란스럽거나 일관되지 않은 내부 접근 방식은 직원들을 더 취약하게 만듭니다. 비즈니스에서 영수증, 패키징 또는 마케팅 자료에 QR 코드를 사용한다면 표준을 정의하고 전달하세요:
- 항상 등록된 도메인을 목적지로 사용 (예:
yourbusiness.com/…), 절대 브랜드가 없는 단순 단축 URL이나 타사 리디렉션 사용 금지 - 팀에 QR 코드가 어떻게 생겼는지 알려주기 — 색상, 로고 배치, 해석되는 도메인 — 가짜를 찾을 수 있도록
- 가능하면 동적 코드 사용 하여 스캔 로그를 감사할 수 있고 재인쇄 없이 손상된 URL을 제거할 수 있습니다. 정적 vs 동적 QR 코드 비교는 결정 전에 장단점을 명확히 설명합니다.
직원들이 정확히 합법적인 코드가 어떻게 생겼는지 알면 가짜를 발견하는 데 훨씬 더 능합니다.
6. 간단한 탁상 연습 실행하기
지식은 실습 없이는 사라집니다. 분기마다 2~3개의 QR 코드를 인쇄하세요. 하나는 실제 웹사이트로 이동하고, 하나는 명백한 자리표시자("이것은 테스트입니다")로 이동하고, 하나는 그럴듯해 보이지만 예상치 못한 곳으로 이동합니다. 팀원들에게 각각을 스캔하고 계속하기 전에 무엇을 할 것인지 설명하도록 요청하세요.
테스트 코드를 만드는 데 10분이면 충분합니다. 목표는 사람들을 낚는 것이 아니라 미리보기 및 일시 중지 습관을 근육 기억으로 만드는 것입니다.
핵심 요점
- QR 공격은 시스템이 아니라 사람을 대상으로 성공합니다. 교육은 직접적인 대책입니다
- URL 미리보기 화면은 팀의 가장 신뢰할 수 있는 첫 번째 방어선입니다. 모두가 사용하도록 가르치세요
- 물리적 변조(합법적인 코드 위의 스티커)는 가장 흔한 대면 공격입니다
- 결제 및 자격증명 QR 코드는 더 높은 위험이 있으며 더 엄격한 별도 프로토콜을 필요로 합니다
- 자신의 합법적인 QR 코드가 어떻게 생겼는지 정의하고 전달하여 직원들이 모조품을 식별할 수 있도록 하세요
- 일회성 프레젠테이션보다 분기별 실제 연습이 습관을 더 잘 강화합니다
