누군가 당신의 QR 코드를 스캔할 때, 그 코드에 인코딩된 URL이 최종 목적지인 경우는 거의 없습니다. 리디렉션 체인(redirection chain) — 사용자를 거쳐 나르기 전에 거치는 하나 이상의 중간 URL — 은 특히 동적 코드와 서드파티 링크 단축 서비스를 사용할 때 QR 캠페인에서 흔합니다. 대부분의 경우 이는 무해합니다. 하지만 손상되었거나 잘못 구성된 리디렉션 체인은 공격자가 인쇄된 물질에 전혀 건드리지 않고 당신의 QR 코드 트래픽을 탈취할 수 있는 가장 깔끔한 방법 중 하나입니다.
이 글에서는 리디렉션 체인이 어떻게 형성되는지, 어떤 점에서 위험한지, 감사하는 방법, 그리고 실제로 작동하는 보안책이 무엇인지 설명합니다.
QR 코드 리디렉션 체인이 형성되는 방식
일반적인 체인은 다음과 같이 보입니다:
QR 코드 → 링크 단축 서비스 (예: bit.ly/xxx) → 캠페인 추적 URL → 최종 랜딩 페이지
각 단계는 HTTP 리디렉션(보통 301 영구 또는 302 임시)입니다. 체인은 다음과 같은 경우에 길어집니다:
- 동적 QR 플랫폼을 사용하여 URL을 자신의 짧은 링크로 래핑
- 별도의 리디렉션 레이어를 통해 UTM 매개변수 추가
- HTTP에서 HTTPS로 사이트를 마이그레이션하면서 오래된 리디렉션 정리 안 함
- 자신의 추적 도메인을 통과하는 제휴 또는 파트너 링크 사용
3~4개의 홉(hop)은 흔하지 않습니다. 5개 이상이 되면 브라우저가 보안 컨텍스트를 버리기 시작하고 위험 상황이 의미 있게 변합니다.
리디렉션 체인이 보안 노출을 만드는 이유
개방 리디렉터가 핵심 문제
개방 리디렉터(open redirector)는 신뢰할 수 있는 곳만이 아닌 모든 목적지로 방문자를 전달하는 URL입니다. 다음과 같이 보입니다:
https://trusted-site.com/go?url=https://attacker.com/fake-login
당신의 리디렉션 체인의 어느 홉이든 개방 리디렉터를 통과하면 — 서드파티 추적 스크립트에 숨어 있더라도 — 공격자는 인코딩된 URL을 보기 전에 당신의 브랜드 이름이 있는 것처럼 보이도록 QR 코드 버전을 만들 수 있습니다. 스캔하기 전에 인코딩된 URL을 검사하는 사용자는 당신의 브랜드를 보고 경계를 낮춥니다.
체인 중간의 DNS 탈취
당신의 리디렉션 체인이 더 이상 당신이 제어하지 않는 도메인을 통과하는 경우 — 만료된 서브도메인, 더 이상 사용하지 않는 구 SaaS, 계약이 끝난 파트너의 도메인 — 그 도메인은 누구나 다시 등록할 수 있습니다. 새 소유자는 그것을 어디든지 가리킬 수 있습니다. 이를 "엉뚱한 리디렉션(dangling redirect)"이라 하며, 대부분의 마케터가 생각하는 것보다 훨씬 흔합니다.
HTTPS 다운그레이드 위험
HTTPS로 시작하지만 중간에 HTTP 홉을 포함하는 체인은 TLS 연결을 제거합니다. 세션 쿠키, 레퍼러 데이터, URL에서 전달되는 모든 토큰은 그 구간 동안 평문으로 전송됩니다. 높은 트래픽의 소매 또는 의료 QR 캠페인에서 이는 의미 있는 데이터 노출 위험입니다.
브라우저의 혼합 신뢰 신호
최신 iOS 및 Android QR 스캐너는 최종 목적지가 아닌 코드가 해결하는 첫 URL을 표시합니다. 당신의 체인이 보안 공급업체가 플래그를 지정한 도메인을 통과하면 — 잠깐이든, 잘못 지정되었든 — 스캐너가 경고를 표시할 수 있습니다. 그 경고는 전환율을 낮추고 당신이 피해자일 때도 당신의 브랜드에 대한 신뢰를 손상시킵니다.
리디렉션 체인을 감사하는 방법
특수 소프트웨어가 필요하지 않습니다. 다음 단계는 대부분의 경우를 다룹니다:
1. 원본 QR 콘텐츠 디코딩 원본 URL을 자동으로 열지 않고 표시하는 QR 스캐너를 사용하세요. 많은 스마트폰 카메라 앱은 이 단계를 숨깁니다 — 전체 인코딩된 문자열을 표시하는 전용 스캐너 앱을 사용하세요.
2. 모든 홉을 수동으로 추적 URL을 리디렉션 체인 확인 도구(redirect-checker.org 및 httpstatus.io와 같은 무료 도구)에 붙여넣으세요. 나타나는 모든 도메인을 문서화하세요.
3. 체인의 모든 도메인을 소유하거나 신뢰하는지 확인 인식하지 못하거나 최근에 확인하지 않은 모든 도메인을 표시하세요. 단축 서비스 서브도메인 또는 오래된 캠페인 도메인의 WHOIS 등록 날짜를 확인하세요.
4. 홉 개수 세기 3개 이상의 홉이 있으면 각각이 필요한지 조사하세요. 체인을 5개 홉에서 2개 홉으로 축소하는 것은 동적 QR 플랫폼을 제어하면 간단합니다.
5. 모든 홉이 HTTPS를 사용하는지 확인 체인의 모든 HTTP 리디렉션은 코드를 인쇄하기 전에 수정해야 합니다. 업그레이드할 수 없는 서드파티 홉에 의존하는 경우, 우회하는 경로로 다시 지정하세요.
6. 캠페인 업데이트 후 테스트 동적 QR 플랫폼에서 목적지 URL을 업데이트할 때 — 이것이 동적 코드를 사용하는 전체 포인트입니다 — 감사를 다시 실행하세요. 목적지 변경은 조용히 새로운 리디렉션 레이어를 도입할 수 있습니다.
정적 QR 코드와 동적 QR 코드의 차이를 이해하는 것이 여기서 중요합니다: 정적 코드는 서버 측 리디렉션이 없으므로 체인은 당신이 인코딩한 URL에서 시작합니다. 동적 코드는 최소한 하나의 플랫폼 제어 홉을 도입하므로 플랫폼의 보안 태세가 당신의 공격 표면의 일부가 됩니다.
실제로 위험을 줄이는 보안책
| 보안책 | 해결하는 문제 |
|---|---|
| 리디렉션 URL 화이트리스팅이 있는 QR 플랫폼 사용 | 플랫폼 레벨에서 개방 리디렉터 차단 |
| 체인의 모든 홉에 대한 도메인 만료 모니터링 | 엉뚱한 리디렉션 방지 |
| 모든 단계에서 HTTPS 전용 적용 | 다운그레이드 공격 제거 |
중간 페이지에 Referrer-Policy: no-referrer 헤더 설정 |
홉 전체에서 토큰 누출 감소 |
| 도메인의 안전 브라우징 경고 구독 | 도메인이 플래그되면 조기 경고 |
당신의 코드가 어디를 가리키고 있는지 철저한 사전 출시 검토를 원하면, QR 코드 안전 목적지 체크리스트에서 방정식의 목적지 측면을 자세히 다룹니다.
가장 지속 가능한 수정은 체인 길이를 줄이는 것입니다. 당신의 QR 캠페인을 관리하는 담당자와 협력하여 가능한 곳에 직접 목적지 URL을 구성하고, 다른 방법으로 얻을 수 없는 추적용으로만 리디렉션 레이어를 예약하세요. 내장된 스캔 분석을 제공하는 플랫폼은 일부 리디렉션 기반 추적 레이어를 완전히 대체할 수 있습니다.
핵심 요점
- 손상되었거나 개방된 리디렉터 홉이 하나라도 있는 리디렉션 체인은 고객을 악의적인 페이지로 보낼 수 있지만 합법적으로 보입니다.
- 만료되었거나 보류된 도메인의 엉뚱한 리디렉션은 QR 캠페인에서 실제이면서도 과소평가된 위험입니다.
- 모든 홉을 수동으로 감사하세요: 원본 URL을 디코딩하고, 모든 리디렉션을 추적하고, 도메인 소유권을 확인하고, 종단 간 HTTPS를 확인하세요.
- 체인을 짧게 유지하세요. QR 플랫폼이 내장 분석을 제공하면 외부 리디렉션 기반 추적이 필요하지 않을 수도 있습니다.
- 동적 코드의 목적지 URL을 업데이트할 때마다 다시 감사하세요 — 그 업데이트는 조용히 새로운 리디렉션 레이어를 도입할 수 있습니다.