코로나19 팬데믹으로 인해 QR(Quick-Response) 코드 사용이 증가했다. 자연스럽게 위협 행위자들은 이 기회와 취약점을 공격 감행에 이용하고 있다.
엔드포인트 관리 및 보안 제공업체 이반티(Ivanti)의 2021 QR 열정 억제(QRurb Your Enthusiasm 2021) 보고서에서도 전 세계적으로 QR 코드 사용이 증가한 것을 알 수 있다. 무접촉 거래가 바람직해지거나 요구되는 세상에서 QR 코드는 생활을 편리하게 해 주는 기술이다. ⓒ Mitya Ivanov / Unsplash
그러나 기업은 QR 코드와 관련한 보안에 뒤처져 있다. 이반티 조사에서 응답자 83%는 지난 3개월 동안 금융 거래에 QR 코드를 사용한 적 있다고 밝혔으나, 대부분은 QR 코드 사용에 따르는 위험을 모르고 있었다. QR 코드를 스캔하면 URL이 열릴 수 있다는 사실을 알고 있는 응답자는 47%에 불과했으며, 애플리케이션이 다운로드될 수 있다는 사실은 37% 응답자만 인지하고 있었다.
팬데믹 동안 소비자는 소매점, 식당, 술집 등의 시설에서 QR 코드를 스캔해 왔으며, 많은 사람이 향후 결제 수단으로 QR 코드의 사용이 확대되기를 원하고 있다. 보고서에 따르면, 이와 동시에 더 많은 사람이 다른 사람과의 연결, 다양한 클라우드 기반의 애플리케이션 및 서버와의 상호작용, 원격 업무 중 생산성 유지 등의 목적에 안전하지 않은 개인 기기를 사용하고 있다. 일상적인 작업을 위해 모바일 기기로 QR 코드를 스캔하는 것은 개인과 기업을 위험에 빠뜨릴 수 있다.
간단하고 효과적인 공격
보고서에 따르면, 사이버 공격자는 팬데믹 중 발생한 보안 공백을 이용하고 있다. 특히 정교한 공격으로 모바일 기기를 목표로 삼는 경우가 늘고 있다. 사용자는 모바일 기기를 사용 중일 때 주의가 산만해지는 경우가 많기 때문에 공격에 희생될 가능성이 크다. 공격자는 커스텀 맬웨어가 포함된 악성 URL을 QR 코드에 쉽게 포함할 수 있는데, 해당 QR 코드를 스캔하면 모바일 기기의 데이터가 추출될 수 있다. 혹은 인증 정보 입력을 유도하는 악성 URL을 QR 코드로 만들 수도 있다.
보안 업체 아르미스(Armis)의 CRO 알렉스 모셔는 “QR 코드 속성상 사람은 내용을 판독할 수 없다. 따라서 들키지 않고 대체 리소스로 연결되도록 QR 코드를 바꾸는 기술은 간단하고 매우 효과적인 공격 방법”이라고 말했다. 보고서에 따르면, 응답자 중 거의 3/4은 정상적인 QR 코드와 악성 QR 코드를 구분하지 못한다. 또한 대부분은 QR 코드로 URL을 열 수 있다는 사실은 인지하고 있더라도 QR 코드로 개시될 수 있는 다른 동작에 대해서는 인지도가 상대적으로 낮다.
모셔는 모바일 기기 공격이 개인과 회사를 모두 위협한다고 말했다. “직원의 개인 모바일 기기에 감행된 공격이 성공하면 해당 직원의 개인 정보가 침해되거나 돈이 빠져나가는 것은 물론 민감한 기업 데이터가 유출되는 결과로 이어질 수 있다”라고 경고했다.
공격자가 QR 코드를 악용하는 방법
QR 코드의 보안 위협이 특히 문제가 되는 이유는 의심 없는 사용자가 깜짝 놀랄 수 있는 요소 때문이다. 포레스터 리서치의 선임 산업 애널리스트 크리스 셔먼은 “QR코드를 직접적으로 공격한 사례는 아직 없지만, 공격 과정에서 QR 코드를 활용하는 사례는 많이 있었다. 주요 문제는 QR 코드가 사용자의 기기에서 웹사이트 열기, 연락처 추가, 이메일 작성 등 여러 가지 동작을 개시할 수 있음에도 사용자는 QR 코드를 스캔하면 무슨 일이 일어날지 전혀 모르는 경우가 많다는 것이다. 보통 URL은 클릭하기 전에 확인할 수 있지만, QR 코드는 그렇지 않을 때가 있다”라고 지적했다.
셔먼에 따르면, 흔한 공격 방식은 악성 QR 코드를 사람이 있는 곳에 두는 것이다. 정상적인 QR 코드를 가리는 경우도 있다. 의심 없는 사용자가 해당 QR 코드를 스캔하면 악성 웹 페이지로 이동되는데, 그 웹 페이지에는 악용 키트가 호스팅되어 있을 수 있다. 이로 인해 기기가 추가로 침해되거나 스푸핑된 로그인 페이지를 통해 사용자 인증 정보가 탈취될 가능성이 있다. 셔먼은 “이런 형태의 피싱이 가장 흔한 QR 악용 형태다. 인증 정보 탈취나 기기 침해, 데이터 탈취, 악성 감시로 이어질 수 있다”라고 덧붙였다.
만일 QR 코드를 통해 가짜 결제 사이트로 이동하면 사용자는 자신도 모르게 비밀번호와 기타 개인 정보를 유출하게 되고 이는 위협 행위자의 손에 들어갈 수 있다. 카네기 멜론 대학교 하인즈 대학 정보 시스템학과 교수 라울 텔랑은 “많은 웹사이트가 ‘드라이브바이(drive-by)’ 다운로드를 수행하므로 사이트에 머무는 것만으로 악성 소프트웨어 다운로드가 시작될 수 있다. 보통 모바일 기기는 노트북이나 컴퓨터보다 안전하지 않다. QR 코드는 모바일 기기에서 사용되므로 취약할 가능성도 높다. 이런 모바일 기기 다수가 기업 IT 맥락에서 사용되면 조직의 보안 약점이 될 수 있다”라고 지적했다.
최근 영국의 보안 업체 VST 엔터프라이즈(VST Enterprises)는 QR 코드 스캔 기술을 사용하는 새로운 연락처 추적 앱의 개인정보 및 데이터 보안에 심각한 결함이 있을 수 있다고 영국 정부에 경고했다. VST 엔터프라이즈 CEO 루이즈 제임스 데이비스에 따르면, ‘어태깅(attagging)’ 혹은 복제(cloning) 프로세스를 거치면 정상 QR 코드가 복제된 QR 코드로 대체돼 개인 데이터를 가로채거나 유출하는 피싱 웹사이트로 사용자를 리디렉션한다.
‘퀴싱’, QR 코드를 이용한 피싱 공격
퀴싱(Qishing)은 QR 코드를 사용하는 피싱 시도를 가리키는 말이다. 공격자가 QR 코드를 좋아하는 이유는 다른 피싱 수단보다 들킬 가능성이 낮아서다. 트러스트웨이브 스파이더랩(Trustwave SpiderLabs)의 최근 연구에 따르면, QR 코드는 악성 링크를 포함하는 데 필요한 HTML 소스 코드가 더 짧다. 대부분의 이메일 필터는 수상한 URL을 차단하기 위해 메시지 내용을 확인하므로 키싱은 방어 주체가 탐지할 ‘위험 신호’가 더 적다.
키싱 이메일은 피싱 이메일과 비슷해 보이지만 QR 코드가 포함된다는 것이 주요 차이점이다. 키싱 이메일과 피싱 이메일 모두 정상적인 회사에서 온 메시지를 모방한다. 스파이더랩 연구에서 지적한 바와 같이 키싱 이메일은 마이크로소프트나 도큐사인 같은 인기 있는 브랜드에서 온 다중 인증 알림으로 위장할 때가 많다. 자신의 세션이 만료돼 다시 인증해야 한다고 생각하는 희생자는 QR 코드를 사용해 가짜 웹페이지에 접속한 후 계정 및 인증 정보를 입력한다.
악성 QR 코드에 당하지 않는 방법
개인과 기업은 QR 코드 보안 위협의 위험을 완화하는 데 도움이 되는 조치를 취해야 한다. 일반 상식을 활용한 방법도 있다. 모셔에 따르면, 코드를 스캔하기 전에 정상적인 코드인지 판단하는 가상 기본적인 방법은 “공공장소에서 인쇄된 코드를 스캔하기 전 다른 코드 위에 붙은 것이 아닌지 확인”하는 방법이다.
셔먼은 사실 어떤 방식으로든 개조된 것처럼 보이는 QR 코드는 사용하지 않는 것이 상책이라며, “일부 코드는 URL을 미리 표시하지 않기 때문에 항상 가능한 것은 아니지만, 리디렉션되는 URL에 주의해야 한다. QR 코드를 사용한 로그인은 삼가는 것이 좋다”라고 말했다.
텔랑은 “피싱 공격은 QR 코드의 가장 심각한 위험이므로 사용자는 방심하지 말고 정상적인 사이트인지 확인해야 한다. 기업 역시 조심해야 한다. 생산성에 영향을 미치지 않고 모든 기기의 안전을 보호하는 통합 엔드포인트 솔루션을 갖추면 좋다”라고 강조했다. 셔먼은 기업 리소스에 접근할 수 있는 모든 기기에 모바일 위협 방어 및 악용 방지 같은 보안을 갖추는 것 역시 매우 중요하다고 덧붙였다.
QR 코드를 대중에게 제시하는 기업이 정상적인 곳인지 확인하는 작업도 좋은 관행이다. 모셔는 “QR 코드 출처가 수상하면 스캔하면 안 된다. 특히 사용자를 다른 사이트로 리디렉션하는 경우 합법적인 URL이 아닌 사이트는 피하는 것이 상책이다”라고 강조했다.
사이버보안팀과 IT팀뿐 아니라 그리고 기업 전체 구성원은 QR 코드와 관련된 위험을 인지해야 한다. 모바일 기기와 앱 사용이 증가하는 상황에서는 특히 그렇다. 텔랑은 “모바일 기기 사용은 특히 팬데믹 중 훨씬 널리 퍼졌다. 여기에 QR 코드 사용도 폭발적으로 증가했다. 부도덕한 해커들이 이런 2가지 사실을 모두 악용할 것은 당연하다”라고 말했다.
editor@itworld.co.kr
넘버스
넘버스
Tags
추천기사
