사이버 보안 기업 인키 테크놀로지(INKY Technology)가 QR 코드 기반의 피싱 공격, 일명 ‘쿠이싱(Quishing)’에 대한 새로운 경고를 발표했다. 이번에 발견된 수법은 기존의 단순한 악성 URL 연결 방식에서 진화해, 자바스크립트(JavaScript)와 HTML을 직접 삽입한 QR 코드를 통해 사용자의 단말기를 즉시 감염시키는 점이 특징이다.
기존의 쿠이싱은 사용자가 QR 코드를 스캔한 후 악성 웹사이트로 이동하게 만들어 정보를 탈취하는 방식이었다. 그러나 이번에 인키가 확인한 방식은 한층 더 정교하다. 공격자는 데이터 URI를 활용하여 HTML과 자바스크립트의 콘텐츠 전체를 QR 코드 안에 인코딩해 삽입한다. 사용자가 이를 스캔하면 모바일 카메라 또는 QR 리더 앱이 자동으로 시스템 브라우저를 열고 공격 코드가 실행된다.
특히 이 공격은 인터넷 연결이 없어도 위협이 유효할 수 있다는 점에서 위험성이 크다. 코드에 포함된 자바스크립트가 단지 브라우저 내에서 자동 실행됨으로써 로그인 정보를 탈취하거나 사용자 기기를 분석하는 악성 행위를 진행할 수 있다는 것이다. 또한 일반적인 이메일 보안 시스템이나 URL 필터링 솔루션이 작동하지 않기 때문에 탐지가 어렵다. 외부 서버와 연결되지 않고, 단지 브라우저 내부에서 실행만 되기 때문이다.
인키는 HTML5 기반 오픈소스 프로젝트 ‘Backdooms’를 사례로 제시하면서, QR 코드 하나에 고도로 압축된 게임 콘텐츠 전체가 담긴다는 점을 들어 이러한 공격 기법의 실현 가능성과 압축 효율성을 강조했다. 이미 일부 해커들은 유사한 기술을 활용해 QR 코드에 악성 프로그램을 숨기고 있는 정황이 드러나고 있다.
인키는 이러한 공격 방식이 앞으로 더 확산될 가능성이 높다고 보고, 기업과 기관들이 사전 예방에 나설 것을 권고하고 있다. 직원들에게 출처 불명의 QR 코드를 스캔하지 않도록 교육하고, 자동 브라우저 열기 기능을 비활성화하며, 이상 이메일 수신 시 보안팀에 즉시 신고하는 체계를 갖추는 것이 핵심적인 대응 전략이다.
이번 보고서는 QR 코드가 단순한 링크 수단을 넘어 악성 코드 전달 도구로 악용될 수 있음을 보여주며, 향후 인터넷 보안 전략 전반을 재정비해야 할 필요성을 시사한다.