LIBRETIP
SEC. 보안 6 MIN READ UPDATED 2026. 04. 30.

QR코드 찍었을 뿐인데 통장이 털렸다 — 큐싱 사기 구조

공유킥보드, 주차딱지, 카페 메뉴판의 QR코드가 가짜일 수 있습니다. 큐싱(Quishing) 공격이 작동하는 기술적 구조와 실제 한국 피해 사례, 즉시 쓸 수 있는 방어법을 정리합니다.

BY LIBRETIP 편집 K.H. DIGITAL SECURITY DISPATCH
VERIFIED 이 글의 기술적 사실과 가격 정보는 기준으로 검증되었습니다.

카페에서 메뉴판 QR코드를 찍었을 뿐인데, 이틀 뒤 통장에서 돈이 빠져나갔다.

공유킥보드를 빌리려고 QR코드를 스캔했는데, 갑자기 이상한 앱이 설치됐다.

아파트 엘리베이터에 붙은 “관리비 안내” QR코드를 찍었더니, 카드 정보를 입력하라는 화면이 떴다.

전부 실제로 한국에서 일어나고 있는 일이다. 이름은 큐싱(Quishing) — QR코드를 이용한 피싱 사기.

큐싱이 뭔가, 왜 지금 터지는 건가

큐싱은 QR코드(Quick Response Code) + 피싱(Phishing)의 합성어다.

핵심은 단순하다. 정상 QR코드를 가짜로 바꿔치기하거나, 악성 URL이 담긴 QR코드 스티커를 공공장소에 붙여놓는 거다. 스캔한 사람은 정상 서비스로 가는 줄 알지만, 실제로는 공격자가 만든 페이지로 연결된다.

왜 하필 지금 급증하는가? 코로나 이후 QR코드가 일상이 됐기 때문이다. 식당 메뉴, 결제, 출입 인증, 킥보드 대여 — 하루에 QR코드를 서너 번은 찍는다. 그리고 그 QR코드가 진짜인지 확인하는 사람은 거의 없다.

Keepnet Labs의 2025년 보고서에 따르면, 전체 피싱 공격의 12%가 QR코드를 활용하고 있고, QR 기반 피싱 이메일은 2025년 8월~11월 사이에 47,000건에서 249,000건으로 5배 넘게 급증했다.

한국도 예외가 아니다. SK쉴더스에 따르면 2023년 국내 온라인 보안 공격 탐지 중 큐싱이 17%를 차지했고, 큐싱 공격 자체가 전년 대비 60% 증가했다.

QR코드를 찍으면 실제로 무슨 일이 벌어지나

QR코드는 그 자체로 아무 기능이 없다. 텍스트를 흑백 점 패턴으로 인코딩한 이미지일 뿐이다. 대부분의 QR코드에는 URL — 웹 주소 하나가 들어있다.

문제는 그 URL이 어디로 연결되느냐다. 정상 QR코드라면 킥보드 앱이나 메뉴판으로 간다. 큐싱 QR코드라면 다음 세 가지 중 하나로 빠진다.

경로 1 — 가짜 로그인 페이지

네이버, 카카오, 은행 로그인 페이지와 똑같이 생긴 피싱 사이트로 연결된다. 여기에 아이디/비밀번호를 입력하면 그대로 공격자에게 전송된다. 페이지 디자인이 진짜와 구분이 안 되기 때문에, URL을 확인하지 않는 한 속을 수밖에 없다.

경로 2 — 악성 앱(APK) 설치 유도

“서비스 이용을 위해 앱을 설치하세요”라는 화면이 뜨고, 앱 설치 파일(APK)을 다운로드하게 만든다. 이 앱은 구글 플레이스토어를 거치지 않는 사이드로딩(sideloading) 방식이라, 구글의 보안 검수를 받지 않는다. 설치되면 연락처, 문자, 금융 앱 정보까지 빨아간다.

안드로이드 설정에서 “출처를 알 수 없는 앱 설치”가 허용되어 있으면 이 과정이 거의 자동으로 진행된다.

경로 3 — 간편결제 QR 바꿔치기

카페나 노점에서 결제용 QR코드 자체를 공격자의 계좌로 연결되는 QR로 교체한다. 결제하는 사람은 정상 결제를 한 줄 알지만, 돈은 공격자에게 간다. 이건 개인정보 탈취가 아니라 직접적인 금전 피해다.

한국에서 실제로 어떻게 쓰이고 있나

공유킥보드 QR 덧붙이기

2024년 한국경제 보도에 따르면, 공유킥보드(라임, 킥고잉 등)에 부착된 정상 QR코드 위에 가짜 QR 스티커를 덧붙이는 수법이 확인됐다. 킥보드를 빌리려고 스캔하면 실제 앱 대신 악성 앱 설치 페이지로 이동한다. MZ세대가 주 타겟이다 — 킥보드를 가장 많이 쓰는 연령대니까.

아파트 엘리베이터·우편함 스티커

서울·인천 아파트 단지에서 “관리비 안내”, “입주민 설문조사”를 사칭한 QR 스티커가 엘리베이터에 부착된 사례가 보고됐다. 관리사무소 공문처럼 생겼고, QR을 찍으면 카드 정보 입력을 요구하는 페이지로 연결된다.

주차위반 딱지 사칭

파주시 등지에서 차량 앞유리에 노란색 바탕의 “주차위반 과태료 납부” 스티커가 부착됐다. 진짜 주차 딱지처럼 생겼고, QR코드를 스캔하면 결제 페이지에서 카드 번호 입력을 요구한다. 실제 주차 과태료는 QR코드로 납부하지 않는다 — 우편 고지서나 정부24 앱을 통한다.

카페·식당 메뉴판 QR 교체

식당 테이블에 부착된 메뉴 QR코드를 몰래 바꿔치기한 사례다. 손님이 메뉴를 보려고 스캔하면 악성 사이트로 연결된다. 가게 주인도 모르는 사이에 일어난다.

왜 기존 보안 시스템이 못 잡나

큐싱이 효과적인 이유는 기술적으로 기존 보안 탐지를 우회하기 때문이다.

이메일 보안 필터는 본문의 텍스트와 URL을 검사한다. 링크 주소를 추출해서 블랙리스트와 대조하는 방식이다. 그런데 QR코드는 이미지다. 악성 URL이 이미지의 픽셀 패턴 안에 인코딩되어 있으니, 텍스트 기반 필터로는 아예 감지가 안 된다.

그리고 QR코드는 스마트폰 카메라로 스캔한다. PC에서 이메일을 읽다가 QR을 폰으로 찍는 순간, 회사 네트워크의 방화벽·프록시 같은 보안 시스템 바깥으로 나간다. 모바일 네트워크(LTE/5G)로 직접 악성 사이트에 접속하는 거라, 기업 보안 솔루션이 중간에 끼어들 틈이 없다.

NordVPN 조사에 따르면 사용자의 73%가 QR코드를 스캔할 때 URL을 확인하지 않는다.

당하지 않으려면 — 위험도별 대응

🟢 일반 사용자 — 이것만 하면 된다

  1. 스캔 후 URL 확인 — QR코드를 찍으면 바로 이동하지 말고, 상단 주소창의 URL을 확인하라. naver.com이어야 할 곳에 naver-login.xyz 같은 주소가 뜨면 즉시 닫아라.
  2. “앱 설치하세요”가 뜨면 100% 의심 — 정상 서비스는 QR코드로 APK 설치를 유도하지 않는다. 앱이 필요하면 구글 플레이스토어나 애플 앱스토어에서 직접 검색하라.
  3. 안드로이드: “출처를 알 수 없는 앱” 설치 차단 확인설정 → 보안 → 출처를 알 수 없는 앱 항목이 꺼져 있는지 확인하라. 이것 하나만으로 APK 자동 설치를 막는다.
  4. 스티커 덧붙이기 확인 — 킥보드나 카페 QR코드가 원래 표면 위에 스티커로 덧붙여져 있으면 찍지 마라. 손톱으로 살짝 긁어보면 스티커 여부를 알 수 있다.

🟡 민감한 상황 — 금융 거래, 결제 관련 QR

  • QR코드로 결제를 요구하는 곳에서는 결제 앱을 직접 열어서 가게 측 QR을 스캔하는 방식(가맹점 제시형)이 더 안전하다. 가게에 붙어있는 QR을 내가 찍는 것보다, 내 앱이 생성한 QR을 가게가 찍는 구조가 바꿔치기에 강하다.
  • 주차 과태료, 관리비, 공과금을 QR코드로 납부하라는 안내는 일단 의심하라. 실제 과태료는 정부24 또는 위택스, 은행 앱에서 직접 조회·납부한다.

🔴 이미 스캔하고 뭔가 설치됐다면 — 즉시 조치

  1. 비행기 모드 켜기 — 악성 앱이 데이터를 외부로 전송하는 걸 즉시 차단한다.
  2. 최근 설치 앱 확인 후 삭제설정 → 앱 에서 방금 설치된 모르는 앱을 제거하라.
  3. 백신 앱 전체 스캔 — V3 모바일, 알약M 등으로 전체 검사를 돌려라.
  4. 금융정보 입력했다면 — 해당 은행 고객센터에 즉시 전화, 카드 정지 요청. 경찰청(112) 또는 KISA 118 상담센터에 신고.
  5. 비밀번호 변경 — 해당 페이지에서 입력한 계정(네이버, 카카오, 은행 등)의 비밀번호를 다른 기기에서 즉시 변경하라.

보안 앱이나 QR 스캐너로 막을 수 있나?

KT의 “안심 QR” 서비스처럼 QR 스캔 시 악성 URL 여부를 검사해주는 도구가 있다. 안랩의 V3 모바일도 URL 접속 시 피싱 사이트 탐지 기능을 제공한다.

하지만 솔직히, 이런 도구를 깔아놓는 것보다 **“QR 찍고 나서 URL 한번 보는 습관”**이 훨씬 효과적이다. 도구는 알려진 악성 URL만 차단하지, 방금 만들어진 새 도메인까지 잡지는 못한다. 결국 마지막 방어선은 사람의 눈이다.

큐싱인 줄 몰랐으면 내 잘못인가?

아니다. 킥보드를 빌리려고 QR을 찍은 게 잘못일 수는 없다. 카페에서 메뉴를 보려고 QR을 스캔한 게 실수일 리가 없다.

큐싱은 신뢰 인프라를 악용하는 공격이다. QR코드가 정상이라는 신뢰가 이미 깔려 있으니까 성립하는 거다. “의심 없이 찍었다”는 건 사용자가 멍청해서가 아니라, QR코드라는 시스템이 원래 그렇게 설계됐기 때문이다.

다만, 이제 큐싱이라는 게 존재한다는 걸 알았으니 — 하나만 바꾸면 된다. QR 찍고 나서 주소창을 한번 보는 것. 2초짜리 습관 하나가 통장을 지킨다.

피싱에 당했거나 의심스러운 QR코드를 발견했다면, 경찰청 사이버범죄 신고(182) 또는 KISA 118 상담센터(국번 없이 118, 24시간 무료)에 연락하면 된다.

자주 묻는 질문

큐싱이 뭔가요?
큐싱(Quishing)은 QR코드(Quick Response Code)와 피싱(Phishing)의 합성어입니다. 정상적인 QR코드를 가짜로 바꿔치기하거나, 악성 URL이 담긴 QR코드를 공공장소에 부착해 스캔한 사람의 개인정보나 금융정보를 탈취하는 사기 수법입니다.
QR코드를 스캔하는 것만으로 해킹당할 수 있나요?
QR코드 스캔 자체로 즉시 해킹되지는 않습니다. 문제는 스캔 후 열리는 웹페이지에서 악성 앱 설치를 유도하거나, 가짜 로그인 페이지에서 계정 정보를 입력하게 만드는 것입니다. 안드로이드의 경우 출처를 알 수 없는 앱 설치를 허용하면 APK 파일이 자동 다운로드될 수 있습니다.
큐싱 QR코드를 이미 스캔했으면 어떻게 해야 하나요?
즉시 스마트폰을 비행기 모드로 전환해 통신을 차단하세요. 그 다음 설정에서 최근 설치된 앱 중 모르는 앱이 있으면 삭제하고, V3 모바일 등 백신 앱으로 전체 검사를 돌리세요. 개인정보나 금융정보를 입력했다면 해당 서비스 비밀번호를 즉시 변경하고 은행 고객센터(또는 112, 118)에 신고하세요.
아이폰도 큐싱에 당할 수 있나요?
아이폰은 앱스토어 외부 앱 설치가 기본적으로 차단되어 있어 악성 APK 설치 경로는 막혀 있습니다. 하지만 가짜 로그인 페이지에서 Apple ID나 은행 계정 정보를 직접 입력하는 것은 OS와 무관하게 당할 수 있습니다. 기기가 안전해도 사람이 속으면 끝입니다.
#큐싱#QR코드#피싱#스미싱#악성앱#공유킥보드#모바일보안

계속 읽기

비트라커 걸어놨는데 MS가 FBI한테 키를 넘겼다 — 디스크 암호화의 진짜 약점

BitLocker 복구 키가 Microsoft 계정에 자동 백업되는 구조, FBI 영장으로 키가 넘어간 실제 사건, 그리고 로컬 전용 키 관리법까지 정리합니다.

포렌식 사설업체의 사기 수법 — 돈만 받고 아무것도 못 하는 구조

핸드폰 포렌식 삭제, 데이터 완전 제거를 약속하는 사설업체들의 실체를 분석합니다. 왜 기술적으로 불가능한지, 어떤 수법으로 돈을 뜯는지, 실제 사기 패턴 3가지를 정리합니다.

경찰 앞에서 아이폰 초기화하는 법 — 긴급 상황 대응 가이드

iPhone을 긴급 상황에서 빠르게 초기화하거나 잠그는 방법을 기술적으로 분석합니다. 긴급 SOS로 생체인증 차단, 원격 초기화, 자동 삭제 설정까지.

댓글

댓글은 giscus를 통해 GitHub Discussions에 저장됩니다.