스마트폰 'QR코드 피싱' 주의보

'청첩·돌잔치 등' 방법도 다양

ㄱ씨는 스마트폰 뱅킹으로 자금이체를 하던 중 추가 인증이 필요하다며 제시된 QR코드를 발견했다. 메시지에 따라 애플리케이션(앱)을 설치하고 보안카드를 비추는 순간 의심스러워 동작을 멈췄지만 이미 늦었다. 통신사에 확인해 보니 게임머니 등으로 35만원이 결제됐다.

ㄴ씨는 ‘○○○치킨 첫 행사 만원 할인 쿠폰 제공’ 문자를 받고 해당 웹사이트를 클릭해 앱을 설치했지만 실행되지 않아 그냥 종료했다. 그러나 이후 20만원이 결제된 요금청구서가 날아왔다.

휴대전화 메시지 등을 이용해서 개인정보를 빼낸 뒤 금전 피해를 주는 전자금융사기인 스미싱(SMS+Phishing)과 큐싱(Qshing·QR코드+Fishing) 사기가 다양해지고 있다.

금융감독원은 27일 ‘유명 외식업 무료 쿠폰 제공 문자메시지’ 등을 받고 접속했다가 본인도 모르게 수십만원씩 결제되는 피해가 줄을 잇고 있다며 주의를 당부했다. 사용자의 관심을 끌고 ‘○○서비스를 이용하려면 앱을 내려받아야 한다’고 유도해 악성코드를 실행시킨 뒤 게임머니 결제 등으로 돈을 빼가는 방식이다. 유도 문자는 청첩장, 돌잔치 초대, 경찰 출석 요구서, 카드대금 조회 등 다양하다.

스마트폰에 악성코드를 심어 정상적인 금융사이트에 접속해도 가짜 사이트로 연결되도록 만들고는 추가인증을 빌미로 QR코드를 통해 악성 앱 설치를 유도하는 큐싱 사기도 있다. 악성 앱으로 보안카드, 전화번호 등의 정보를 탈취해 소액결제, 자금이체 등으로 돈을 빼간다.

피해를 막기 위해 소액결제를 쓰지 않는 사용자는 통신사 콜센터에 소액결제 기능을 차단하도록 요청하는 게 좋다. 또 한국인터넷진흥원이 배포한 스마트폰 보안점검 앱 ‘폰키퍼’ 등을 사용해 악성코드 감염을 방지할 수 있다. 금감원은 무료나 할인 쿠폰, 보안 강화, 대출 알선 등의 문자나 전화로 특정 사이트 접속이나 앱 설치를 유도한다면 금융사기를 의심해봐야 한다고 강조했다.

피해가 발생하면 경찰서에서 ‘사건사고 사실확인원’을 발급받은 뒤 통신사 고객센터에 금융사기 피해 접수 및 사건사고 사실확인원을 제출해야 한다.

<이인숙 기자 sook97@kyunghyang.com>