▲ 사진=픽사베이 / Gerd Altmann

과학기술정보통신부는 오늘(18일) 올해 사이버 위협 사례로 ▲스팸·스미싱·큐싱 등 사이버 사기와 ▲소프트웨어 공급망 공격, ▲랜섬웨어 공격기법 고도화 등 3가지를 선정했다.

스팸·스미싱의 경우, 스미싱 신고 방법이 편리해지면서 신고 건수가 늘어난 상황이 반영됐지만 지난 5월 특정 기업의 문자 발송 시스템이 해킹되면서 성인·도박 사이트 방문을 유도하는 대량의 스팸 문자가 발송된 측면도 컸다. 공격자가 문자 발송 서버의 웹 취약점이나 전사적 자원 관리(ERP) 시스템의 관리자 계정, 문자 발송 설루션의 취약점을 악용해 시스템을 장악한 사례다. 과기정통부는 "설루션 제조사들은 자체 보안 점검을 통해 잠재적인 취약점을 사전에 제거해야 한다"고 강조했다.

QR코드를 활용한 '큐싱' 사기도 등장했다. QR코드는 정보를 빠르게 인식할 수 있도록 설계된 2차원 바코드. 주로 스마트폰에서 복잡한 인터넷 주소를 입력하는 대신, 이 QR코드만 인식하면 손쉽게 앱을 설치하거나 실행할 수 있다. 최근 공유형 킥보드, 전단지, 상점 홍보물 등에서 QR코드 사용이 급증하고 있다.

정상적인 QR코드 위에 큐싱 스티커를 덧붙이거나 피싱 메일이나 온라인 광고에 큐싱 링크를 넣어 악성 앱 설치를 유도하는 피해 사례가 발생하고 있어 주의가 필요하다.

KT는 최근 안심 QR 서비스를 출시했다. 사용자가 QR코드를 스캔하면 해당 코드가 악성 앱 설치 URL이나 불법 웹사이트로 연결되는지 탐지해 주는 서비스다. 이와 비슷한 서비스를 한국인터넷진흥원도 이달 중으로 개시할 예정이니, QR코드를 인식하기 전 이 서비스들을 통해 확인하면 피해를 줄일 수 있다.