사기범들이 직접 전화를 걸어 사기 대상자를 속이는 단순한 방식에서 문자메시지를 통한 피싱, 자동응답(ARS) 방법까지 점차 교묘해지고 있는 것이다.
최근 스마트폰의 대중화로 모바일 앱을 통한 금융거래가 증가하면서 스마트폰에 악성프로그램을 설치해 해킹하는 방식의 금융사기가 성행하고 있다.
최근 신용금융사기 방식으로 떠오른 ‘큐싱(Qshing)’이 바로 그것이다.
◆ 큐싱, ‘QR코드’ 통해 악성프로램 설치
큐싱은 ‘QR코드(Quick Response Code)’를 통해 악성 앱을 내려 받도록 유도하거나 악성프로그램을 설치하게 하는 금융사기 기법을 말한다.
QR코드는 각종 정보나 프로그램을 담은 격자무늬의 2차원 코드로 스마트폰 카메라로 스캔하면 내용을 읽을 수 있다. 스마트폰 대중화로 인해 많이 사용되고 있다.
지금까지 밝혀진 사기방법은 이렇다. 문자메시지를 통한 스미싱이나 불법 앱(가짜 앱)을 통해 스마트폰을 악성코드에 감염시킨다.
악성코드에 감염된 스마트폰은 피해자가 정상적인 금융회사의 사이트에 접속하려해도 자동적으로 가짜금융사이트나 앱으로 연결되고 가짜 금융사이트는 추가인증이 필요한 것처럼 안내, QR코드를 통해 가짜 보안브로그램으로 위장된 악성 앱을 설치하도록 유도한다.
이 악성 앱을 통해 보안카드 전화번호, 문자메시지 등의 정보를 탈취, 사기범들이 소액결제나, 자금이체 등의 금전적 피해를 주는 방식이다.
◆ 출처 불분명한 앱 다운 금지... 스마트폰 악성코드 감염 검사해야
큐싱은 QR코드를 통해 불법‧악성 앱을 설치하게 하는 만큼 출처가 불분명한 앱의 설치를 막는 것이 가장 우선돼야 한다.
공식 마켓이 아닌 곳에서의 앱 다운로드를 피하고 앱 설치 시 확인을 거칠 수 있도록 휴대전화 환경설정에서 ‘앱 설치 전 확인’ 기능 활성화가 필요하다.
특히 QR코드의 경우 간단한 사진 촬영만으로 각종 정보를 얻을 수 있어 유용하지만 악용될 경우 정상 URL를 중간에 가로채 악성링크로 접속을 유도하거나 직접 악성코드를 심는 통로로 활용될 수 있다.
한국인터넷진흥원(KISA)에서 배포하고 있는 스마트폰 보안점검 앱인 ‘폰키퍼’나 다른 보안프로그램을 설치, 악성코드 감염을 방지하는 것이 중요하다.
피해를 입었을 경우 피해금 환불 또는 부과 취소를 받기 위해 경찰서에서 ‘사건사고 사실확인원’을 발급 받아 제출해야 하고 심사 결과를 기다려야 하는 등의 불편이 발생한다.
결국 사전에 큐싱 금융사기를 당하지 않도록 사전에 주의를 기울이는 것이 최선이다.
[소비자가만드는신문=손강훈 기자]
저작권자 © 소비자가 만드는 신문 무단전재 및 재배포 금지