QR코드가 일상화되면서, “이거 찍었다가 해킹당하는 거 아니야?”라는 걱정을 하는 사람도 늘고 있습니다. 결론부터 말하면, 위험 요소는 있지만, 올바른 수칙을 따르면 충분히 안전하게 사용할 수 있습니다.
대표적인 위험 사례들
QR 피싱(QRishing)
공격자가 QR코드를 이용해 다음과 같은 페이지로 유도하는 방식입니다.
- 은행·포털·SNS 로그인 페이지를 위장한 피싱 사이트
- 개인정보 입력을 유도하는 가짜 설문 폼
- 유명 브랜드를 사칭한 사기 페이지
정상 QR코드 위에 ‘덧붙이기’ 공격
진짜 QR코드 위에 가짜 QR코드 스티커를 붙여 이용자를 속이는 방식입니다. 특히 다음 장소에서 악용되기 쉽습니다.
- 주차장·무인결제 키오스크 등 결제용 QR코드
- 공공장소의 광고 포스터
- 레스토랑 메뉴판·테이블 스탠드 등
예상치 못한 동작 유발
QR코드는 단순한 URL뿐 아니라 다음과 같은 동작을 포함할 수도 있습니다.
- 앱 설치 페이지 열기
- 연락처 추가
- SMS/이메일 작성 화면 열기
사용자가 지켜야 할 보안 수칙
- 바로 열지 말고, 우선 링크 주소를 확인하기 – 대부분의 스마트폰은 접속 전 URL을 보여줍니다.
- 도메인 철자 주의: 예) mybank.com vs mybank-login-secure.net
- 스티커처럼 보이면 의심하기: 위에 덧붙인 느낌이 나면 사용하지 않는 것이 안전
- 공식 카메라 앱 이용: 출처 불분명한 QR 스캐너 앱은 피하는 편이 좋습니다.
- 비밀번호·카드 정보는 신중하게 입력: 특히 갑자기 열린 페이지에서는 각별히 주의
서비스 제공자가 할 수 있는 보안 대책
신뢰할 수 있는 QR코드를 제공하려면
- 반드시 HTTPS 사용: http:// 링크는 사용하지 말 것
- 브랜드 요소 명확히 표시: QR코드 주변에 로고, 상호, 목적을 함께 표기
- 용도 설명: “Wi-Fi 접속용”, “리뷰 작성용” 등, 스캔 시 어떤 일이 일어나는지 안내
- 물리적 보호: 쉽게 덮어씌울 수 있는 스티커 대신, 직접 인쇄 또는 보호 커버 사용
- 트래픽 모니터링: 이상한 시간·지역에서 급증하는 접속이 없는지 확인
Sqanity의 보안 기준
Sqanity는 플랫폼 차원에서 다음과 같은 보안 기준을 적용하고 있습니다.
- 모든 리다이렉션을 HTTPS로 강제
- 유럽 내 인프라 기반으로 GDPR 등 개인정보 관련 규정 준수
- 24/7 모니터링으로 비정상적인 패턴 탐지
- 악용이 의심되는 QR코드는 관리자 페이지에서 즉시 비활성화 가능
Sqanity와 함께, 사용자에게 신뢰받을 수 있는 QR코드를 운영해 보세요.