가짜 불법주차 안내문(왼쪽)에 돈을 빼가려는 QR코드가 첨부돼 있다. 언뜻 보기엔 구분이 쉽지 않다. 사진 파주시

공과금 납부와 각종 안내문, 온라인 카드 현장결제 등에서 활용되는 QR코드가 늘어나면서 이용자를 속여 돈을 빼가는 '큐싱'(QR코드+피싱) 사기가 활개치고 있다. 휴대전화로 직접 QR코드를 촬영하기 전까지는 진짜인지 가짜인지 알 수 없는 허점을 노린 수법이다.

지난 8얼 파주시는 시민들에게 'QR코드를 함부로 촬영 스캔하지 말라'고 주의를 당부했다. 최근 파주시 도로변에 주차된 차량에 허위 주차위반 안내문이 부착된 사례가 다수 발견돼서다. 이 가짜 주차딱지는 아파트 단지에서 쓰는 주차위반 딱지와 유사하게 노란색 바탕에 빨간 글씨로 돼 있다. "요금을 납부하라"며 QR코드가 그려져 있다.

QR코드를 실제 촬영하면 결제 페이지에서 카드 번호를 입력하라거나 개인정보를 빼가는 악성 앱이 설치된다. 이런 큐싱 사기는 2015년 등장했지만, 최근 식당 메뉴판과 제품 안내문 등이 대체될 정도로 QR이 보편화되면서 급증하는 분위기다. 보안업체 SK쉴더스에 따르면 지난해 온라인 보안공격 중 17%가 큐싱이었는데 전년 대비 60% 증가한 수치다.

실제 피해 사례에선 할인쿠폰을 준다거나 대출 금리를 확인하라는 위장 홍보성 QR코드에 당하는 경우가 많다. "○○○치킨 할인쿠폰 도착", "자세한 내용을 확인하려면 QR코드 촬영 후 전자금융사기 예방 서비스 앱을 설치하라"는 식으로 안내 메시지를 받기 때문에 소비자 입장에선 가벼운 마음으로 촬영했다가 큰 피해를 입을 수 있다.

경찰은 전동킥보드 업체와 함께 'QR 찍기 전에 확인하라'는 예방 캠페인을 벌이고 있다. 중앙포토

큐싱은 보이스피싱 등과 달리 오프라인에서도 위험하다. 공공장소 안내문과 공유자전거·전동킥보드 등 시민 다수를 대상으로 한 QR코드 위에 범죄 일당이 가짜 QR를 덧붙여 놓는 것이다. 전동킥보드를 타려면 현장에서 온라인 결제를 해야 하는데 이를 위한 QR이 사기일 가능성이 있다. 이 때문에 스마트폰 조작에 익숙한 청년층에서도 피해자가 많다.

큐싱을 예방하려면 ▲공공장소에 있는 QR이 덧붙여진 스티커가 아닌지 확인 ▲QR을 촬영한 이후 연결되는 온라인 링크 주소가 올바른지 확인 ▲개인정보 입력이나 추가 앱 설치 금지 등을 지켜야 한다. 만약 악성 앱이 설치됐다면 즉시 휴대전화를 비행기 모드로 바꿔 통신을 차단하고 앱을 삭제한다. 범죄 일당이 스마트폰을 원격 제어하지 못하게 하기 위해서다.

전문가들은 출처가 분명치 않은 QR코드를 촬영하지 않는 게 가장 안전하다고 조언했다.