당신은 주제를 찾고 있습니까 “qr코드 해킹 – QR코드의 원리와 생성 방법“? 다음 카테고리의 웹사이트 https://hu.taphoamini.com 에서 귀하의 모든 질문에 답변해 드립니다: https://hu.taphoamini.com/photos/. 바로 아래에서 답을 찾을 수 있습니다. 작성자 코딩하는거니 이(가) 작성한 기사에는 조회수 85,989회 및 좋아요 2,811개 개의 좋아요가 있습니다.
Table of Contents
qr코드 해킹 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 QR코드의 원리와 생성 방법 – qr코드 해킹 주제에 대한 세부정보를 참조하세요
이번 영상에서는 QR코드의 원리와 구조 그리고 생성하는 방법에 관해 이야기 합니다. 나만의 QR코드를 생성해서 이성에게 이동통신기기의 번호를 받을 수 있는 확률을 높여보세요!
#QR코드 #바코드 #헌팅
qr코드 해킹 주제에 대한 자세한 내용은 여기를 참조하세요.
여기저기 QR코드, 보안 문제는 괜찮을까 – 시사위크
보안을 염두에 두지 않는 QR코드 사용은 해킹이나 복제 등 사이버 범죄로 이어질 가능성이 높다는 것이다. ◇ 대량의 정보 담은 QR코드, 온·오프라인에서 …
Source: www.sisaweek.com
Date Published: 5/16/2021
View: 7530
QR코드 스캔하고 보니 바이러스, ‘큐싱(Qshing)’ 공격이란?
QR코드 해킹 수법과 예방법에 대해 SK인포섹이 알려드리겠습니다! . . ‘전자출입명부’ 큐알(QR)코드, 안심하고 사용하세요!
Source: m.blog.naver.com
Date Published: 6/2/2022
View: 2212
QR코드를 이용한 피싱, ‘큐싱(Qshing)’을 주의하세요!
QR코드를 이용한 해킹을 의미하는 큐싱(Qshing)은 QR코드와 피싱(Phishing)의 합성어입니다. 큐싱은 해커가 만든 QR코드에 링크 된 악성 앱 URL 설치 …
Source: blog.alyac.co.kr
Date Published: 9/13/2022
View: 4960
“스마트폰 해킹, QR코드 찍자 30초만에 끝” : 뉴스 – 동아일보
스마트폰으로 QR코드(격자무늬 바코드)를 찍는 것만으로 어떻게 통화기록, 사진정보를 비롯한 금융거래 정보 등을 단숨에 해킹할 수 있는지 직접 보여 …
Source: www.donga.com
Date Published: 1/18/2022
View: 523
대량의 정보 담은 QR코드의 보안 취약점과 그 대응 방안은?
보안을 염두에 두지 않는 QR코드 사용은 해킹이나 복제 등 사이버 범죄로 이어질 가능성이 높다는 것이다. 최근 한 사례로 고객 QR 코드에 결제 기능을 …
Source: www.policetv.co.kr
Date Published: 11/7/2022
View: 9577
QR 코드의 보안 취약점과 대응 방안 연구 – KoreaScience
인쇄 매체는 물론이고 온라인 사이트에서도 QR 코드를. 이용하고 있는데, 만약 이러한 QR 코드가 해킹 등으로. 인해 다른 QR 코드로 변조될 경우 변조 여부를 쉽게 확.
Source: www.koreascience.or.kr
Date Published: 2/25/2022
View: 3852
QR코드 – 나무위키
덴소 웨이브는 QR코드와 QR코드 인식기, 인식 방법 등에 대해 일본과 미국 등에서 특허권 … 소위 인쇄물에 있는 QR 코드(정적인 QR코드)는 해킹 및 악성코드 위험이 …
Source: namu.wiki
Date Published: 10/12/2021
View: 7611
제로페이 등 사용자 늘어나는 QR코드, 예상되는 보안 문제는
이집트 보안업체 시큐리티(Seekurity)의 정보보안연구원 모하메드 엘누비는 2016년 QR코드 로그인을 지원하는 미국의 인스턴트 메신저 왓츠앱 계정을 해킹 …
Source: www.boannews.com
Date Published: 9/18/2022
View: 253
[실시간 e뉴스] ‘코로나 QR코드’ 뚫렸나?…정부의 답변
실제 해당 개인정보가 QR코드로부터 해킹된 건지, 개인정보 자체가 맞는 건지도 확인되지 않았습니다. 경찰은 개인정보 판매업자의 텔레그램 계정과 …
Source: news.sbs.co.kr
Date Published: 6/18/2021
View: 3593
‘포털 접속하니 이상한 QR코드가’ 신종 해킹 확산 | 연합뉴스
25일 보안업체 이스트시큐리티에 따르면 이러한 방식의 큐싱(Qshing·QR코드를 이용한 해킹) 공격이 최근 안드로이드 운영체제(OS)를 사용하는 모바일 …
Source: www.yna.co.kr
Date Published: 10/3/2021
View: 1626
주제와 관련된 이미지 qr코드 해킹
주제와 관련된 더 많은 사진을 참조하십시오 QR코드의 원리와 생성 방법. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 qr코드 해킹
- Author: 코딩하는거니
- Views: 조회수 85,989회
- Likes: 좋아요 2,811개
- Date Published: 2019. 11. 22.
- Video Url link: https://www.youtube.com/watch?v=HAVAerJGzpA
여기저기 QR코드, 보안 문제는 괜찮을까
많은 양의 정보를 담을 수 있는 QR코드는 디지털 사회에서 없어서는 안될 필수 요소다. 하지만 전문가들은 QR코드가 해킹 및 복제 등의 범죄로 이어질 수 있어 철저한 보안이 필요하다고 지적한다./ 그래픽=박설민 기자
시사위크=박설민 기자 최근 온·오프라인을 막론하고 가장 많이 사용되는 IT보안 시스템을 하나 꼽으라면 ‘QR코드’라고 할 수 있다. 격자무늬 형태의 정사각형 모양 바코드 QR코드는 최대 4,296자의 문자를 입력할 수 있는 높은 정보 저장 능력 때문에 현 디지털 사회에선 없어서는 안될 기술이다. 특히 최근에는 코로나19 방역을 위한 방역패스 등에 활용도가 높아 그 이용량이 더욱 증가했다.
하지만 IT분야 전문가들은 QR코드가 편리하고 유용한 기술인 것은 사실이지만 사용 시 보안에 주의해야 한다고 경고한다. 보안을 염두에 두지 않는 QR코드 사용은 해킹이나 복제 등 사이버 범죄로 이어질 가능성이 높다는 것이다.
◇ 대량의 정보 담은 QR코드, 온·오프라인에서 보안 위협 받는다
사실 QR코드의 보안 위험성은 스마트폰이 도입된 초기부터 끊임없이 제기된 문제다. 그렇다면 QR코드가 가지고 있는 보안 위협은 무엇이 있을까. 전문가들은 QR코드가 바코드보다 훨씬 많은 양의 정보를 가지고 있으면서도 동시에 ‘공개’돼 있다는 점을 이유로 꼽는다.
QR코드를 사용하기 위해선 필연적으로 QR코드 그림이 드러날 수밖에 없다. 이때 기존 바코드가 가지고 있던 물건의 가격 수준의 정보가 아니라 전화번호, 주민번호 등 민감한 개인정보까지 포함된 QR코드를 복제하거나 왜곡할 경우 매우 큰 피해로 이어질 가능성이 높다.
문제는 범죄자들이 온라인에서 QR코드가 게재된 홈페이지를 해킹, 변조해 피싱 범죄(금융기관 등으로부터 개인정보를 불법적으로 알아내 이를 이용하는 사기수법)를 저지를 경우, 일반인들이 이를 쉽게 파악하기란 매우 어렵다는 점이다. 컴퓨터를 잘 모르는 일반인들이 보기엔 다 엇비슷해 보이는 그림일 뿐이기 때문이다.
특히 오프라인에서 QR코드 그림을 바꿔치기할 경우엔 파악이 더욱 어려운데, 신문 등 오프라인 출력물인 경우 변조된 QR 코드를 덧붙이기만 하면 되기 때문에 더욱더 손쉽게 공격의 대상이 될 수 있다
이런 QR코드 보안의 취약점은 실제 범죄로 이어지기도 하는데, 바로 신종 개인정보유출 사기인 ‘큐싱(Qshing)’ 범죄다. QR코드와 피싱의 합성어인 큐싱은 QR코드로 악성 앱 설치를 유도하는 신종 사이버 범죄다. QR코드에 악성 앱 URL을 숨겨둔 후 사용자가 QR코드를 찍으면 저절로 스마트폰에 악성코드가 탑재된 앱이 설치된다. 이후 범죄자들은 사용자의 스마트폰에서 각종 개인정보와 금융정보를 탈취한다.
실제로 금융감독원에 따르면 2015년 한 신고자는 은행에서 스마트뱅킹으로 자금이체를 진행하던 중 추가인증이 필요하다며 나타난 QR코드를 스캔했다. 이후 수상한 생각에 은행에 조회를 요청한 결과, 게임머니 등으로 35만원이 자신도 모르는 사이에 결제 처리된 것으로 알려졌다.
ICT 보안 전문기업 SK쉴더스(전 ADT캡스)는 자사 블로그를 통해 “QR코드 사기를 예방하기 위해선 무엇보다 출처가 불확실한 QR코드 촬영은 자제하는 것이 중요하다”며 “큐싱 사기는 QR코드를 스캔하기 전까지 관련 내용을 알 수 없다는 점을 악용한 것이 특징”이라고 경고했다.
이어 “검증되지 않거나 의심스러운 QR코드는 가급적 인식하지 않고, 설사 QR코드를 인식했더라도 링크로 연결된 앱을 설치하지 말아야 한다”며 “앱은 검증된 공식 마켓에서 다운로드하며, 공식 마켓에서도 악성 앱이 유포되는 경우가 있기 때문에 다운로드 전에는 꼭 사용자 리뷰를 확인하는 것이 좋다”고 조언했다.
QR코드는 최근에는 코로나19 방역을 위한 방역패스 등에 활용도가 높아 그 이용량이 더욱 증가했다. 문제는 이런 QR코드의 사용량이 늘어남에 따라 신종 개인정보유출 사기인 ‘큐싱(Qshing)’ 범죄가 발생할 우려도 커지고 있다./ 뉴시스
◇ 편리한 QR코드, 안전하게 사용하려면?
그렇다면 큐싱 등 신종 사이버 범죄의 위협에서 안전하고 편리하게 QR코드를 사용할 수 있는 방법은 무엇일까.
양형규 강남대학교 ICT융합공학부 교수는 2012년 한국인터넷방송통신학회에 개제한 논문 ‘QR 코드의 보안 취약점과 대응 방안 연구’에서 ‘통합 URL 검증 사이트’ 운영과 ‘QR 코드의 무결성 검증 및 인증’이 QR코드의 보안 약점을 강화해줄 수 있는 방법이라고 설명했다.
첫 번째 ‘통합 URL 검증 사이트’ 운영은 QR코드의 스캔 결과값을 악성 URL 데이터베이스와 비교한 후 정상적인 URL로 판정한 경우에만 연결하도록 하는 것이다.
통합 URL 검증 사이트 운영 방법은 다음과 같다. 먼저 사용자가 어떤 QR코드를 스캔하면, 사이트 내에 탑재된 스캐너가 해당 코드를 스캔하고 해당 URL을 검증사이트에 전송한다. URL을 전송받은 검증 사이트는 악성 URL 목록과 비교해 QR코드 인증 가능 여부를 다시 사용자의 스마트폰으로 전송하게 된다.
두 번째 ‘QR코드 무결성 검증 및 인증’ 방법은 QR코드 내에 기본 코드와 인증 코드 두가지를 탑재하는 방식이다. 첫 번째 QR코드에는 URL과 같은 정보가 포함돼 있으며, 두 번째 코드에는 첫 번째 QR코드에 대한 인증값이 포함돼 정보의 무결성을 검증하게 된다.
다만 양형규 교수는 두가지 방법 모두 QR코드 보안을 높일 수 있는 해결책이라고 보면서도 한계점이 있다고 봤다.
양형규 교수는 “통합 URL 검증 사이트를 이용할 경우 잠재적인 악성 URL을 포함해 모든 악성 URL을 확인할 수 있어야 하는데, 이는 현실적으로 매우 어려운 문제”라며 “만약 악성 URL을 효율적으로 식별할 수 없다면 사용자에게 정확한 정보를 줄 수 없기 때문에 오히려 더 위험한 결과를 초래할 수도 있다”고 지적했다.
이어 QR코드 무결성 및 인증 방법에 대해서는 “모든 공격을 막을 수 있는 방법이지만 인증서 검증 등으로 인해 사용자 단말의 연산 부담이 높다는 단점이 있다”며 “인증서 검증을 온라인으로 처리할 수도 있지만, 사용자 단말에서는 서명 검증 등의 추가 연산이 필요하다”고 평가했다.
아울러 우리나라 정부도 모바일 결제를 중심으로 결제시장의 혁신이 활성화되는 추세임에 따라 QR코드 보안성 강화의 중요성을 인지하고 이에 대한 결제 표준을 제정 및 공표한 상태다. 지난 2018년 11월 금융위원회가 공표한 QR코드 결제 표준안을 살펴보면 다음과 같다.
먼저 금융위원회 결제 표준안에 따르면 QR코드를 발급할 시 국제 표준에 따라 QR코드 최신 모델로 발급해야 한다. 위조 및 변조 방지를 위해 QR코드 내 자체 보안기능을 갖추고 민감한 개인·신용정보도 포함해서는 안된다.
또한 소비자가 스캔할 때마다 거래금액을 입력하는 고정형 QR의 경우, 특수필름 부착과 잠금장치 설치 등 별도의 위조 및 방지조치를 갖춰야 하며, 변동형 QR의 경우 보안성 기준을 충족한 앱(발급 유효시간 3분)을 통해 QR코드를 발급하도록 한다.
QR코드 이용 시에는 결제사업자는 해킹 방지 대책을 세워야 하며, 소비자와 가맹자는 보안성이 인정되지 않은 임의의 QR코드 스캐너 등을 사용해선 안된다. QR코드 파기 시에는 가맹 점주의 경우 가맹점 탈퇴·폐업 즉시 QR코드 파기 후 가맹점 관리자에게 신고해야 하며, 결제사업자는 유효하지 않은 QR코드 대해 결제차단 등의 조치를 취해야 한다.
저작권자 © 시사위크 무단전재 및 재배포 금지
QR코드 스캔하고 보니 바이러스, ‘큐싱(Qshing)’ 공격이란?
빠르게 확산되는 감염 전파를 막기 위해선 역학조사 또한 신속하게 진행하는 것이 중요합니다. 사실, 코로나 바이러스 확산 초기에는 확진자가 발생하면 통신 기지국의 정보, 카드 사용 내역, CCTV 정보만으로 확진자의 동선과 접촉자를 파악해야 했습니다. 이후 정부는 그동안 수기로 작성되어오던 출입자 명부를 개선하기 위해 QR코드에 기반한 전자출입명부 시스템(KI-Pass)을 도입하게 되는데요. 이로 인해 역학조사에 드는 시간과 비용을 대폭 줄이며 효율적인 관리가 가능하게 되었습니다.
하지만 개인이 방문한 장소마다 기록이 남는 만큼 개인정보 유출에 대한 우려의 목소리도 있습니다. 다행히 전자출입명부에 기록되는 정보는 관련 2개 기관(네이버, 카카오)에 분산 보관 후, 암호화되어 저장되며, 해당 기관의 정보만으로는 이용자의 동선 파악 등이 불가능합니다. 질병관리본부는 확진자 발생 시에 한하여 두 기관에 분산 보관된 정보를 확인할 수 있으며, 정보 수집 4주 후 자동으로 파기되는 등 개인정보 침해의 문제를 최소화하기 위한 장치가 마련되어 있습니다.
QR코드를 이용한 피싱, ‘큐싱(Qshing)’을 주의하세요!
이미지 출처=픽사베이(Pixabay)
안녕하세요? 이스트시큐리티입니다.
요즘 외부에 나가면 QR코드를 찍게 됩니다. 특히 최근에는 코로나19 방역을 위해 많은 곳에서 QR코드를 활용하고 있어 그 중요도가 더욱 높아지고 있는데요.
하지만 QR코드 사용이 일상화되면서, 이를 악용한 해킹으로 개인 보안 위협이 커지게 되었습니다. 이렇게 QR코드를 이용한 보안 범죄를 ‘큐싱(Qshing)’ 이라고 합니다.
큐싱(Qshing) 이 무엇인가요?
QR코드를 이용한 해킹을 의미하는 큐싱(Qshing)은 QR코드와 피싱(Phishing)의 합성어입니다.
큐싱은 해커가 만든 QR코드에 링크 된 악성 앱 URL 설치를 유도하여, 개인·금융정보 탈취, 모바일기기 원격 통제, 소액 결제 등개인정보유출을 이용한 사기를 유도하는 신종 사이버 범죄입니다.
금융감독원에서 발표한 피해 사례에 따르면, 은행 앱을 이용하여 돈을 이체하던 중 추가 인증이 필요하다며 나타난 QR코드를 스캔했더니, 본인도 모르게 돈이 빠져나가는 피싱을 당하는 일이 있었다고 하는데요.
이처럼 큐싱(Qshing) 범죄는 QR코드에 악성 앱 URL을 숨겨서 심은 다음, 사용자가 QR코드를 스캔하면 스마트폰에 악성코드가 탑재된 앱이 자동으로 실행되어 각종 개인정보와 금융정보를 탈취합니다.
큐싱(Qshing)은 코드를 스캔하기 전까지는 정보를 명확하게 확인 할 수 없다는 허점을 노린 악질 범죄이며, 이와 같은 피해를 사전에 예방하기 위해서는 사용자의 각별한 주의가 필요합니다.
그렇다면 사용자는 어떠한 주의를 기울어야 할까요?
1. 공공장소 및 보안되지 않은 사이트에서 노출된 QR코드는 신중하게 접속하기 사용자는 공공장소 또는 보안성이 검증되지 않은 공간이나 사이트에서 제공하는 QR코드의 경우는 신중하게 확인 후 스캔해야 합니다.
2. E-mail에 포함된 QR코드의 경우, 되도록 접속 자제하기
대부분의 경우, E-mail로 QR코드 인증을 요구하지 않기 때문에, E-mail로 전달된 QR코드는 되도록 접속하지 않는 것이 좋습니다.
3. 자주 이용하는 사이트의 경우, 각기 다른 비밀번호를 설정하기
QR코드 피싱으로 인해, 개인정보가 노출된 경우 동일한 비밀번호를 사용하면 개인정보 및 금융정보를 모두 탈취당할 수 있습니다. 따라서 각기 다른 비밀번호를 설정하는 것이 피싱으로 인한 큰 피해를 방지하는 데 도움이 됩니다.
이러한 방법 외에 다운로드나 접근하는 모든 앱·파일을 실시간으로 감시할 수 있는 모바일 백신 알약M 실시간 감시 기능을 사용하면 큐싱(Qshing) 과 같은 사이버 피싱 범죄를 방지하는 데 큰 도움이 될 수 있습니다.
오늘 함께 알아본 큐싱(Qshing) 범죄에 대한 설명과 예방법이 사용자분들의 개인정보를 안전하게 보호하고, 사이버 범죄에 악용되는 것을 방지하는 데 도움이 되었길 바라며, 이스트시큐리티는 앞으로도 사용자분들의 안전한 모바일 라이프를 위해 더욱 노력하겠습니다.
감사합니다.
“스마트폰 해킹, QR코드 찍자 30초만에 끝”
‘시큐인사이드 2011’ 해킹방어대회가 서울 강남구 역삼동 리츠칼튼호텔에서 24일부터 이틀간 밤낮없이 진행됐다. 35개국 400개 팀이 예선을 치러 본선에 진출한 8개 팀 해커들이 제시된 문제를 풀기 위해 안간힘을 쓰고 있다. 홍진환 기자 [email protected]
“스마트폰으로 QR코드(격자무늬 바코드)를 찍는 것만으로 어떻게 통화기록, 사진정보를 비롯한 금융거래 정보 등을 단숨에 해킹할 수 있는지 직접 보여드리겠습니다.”해킹방어대회 및 정보보호 콘퍼런스인 ‘시큐인사이드(Secuinside) 2011’이 열린 25일 서울 강남구 역삼동 리츠칼튼호텔 한편에서는 즉석에서 삼성 갤럭시 제품을 통한 해킹 시연이 펼쳐졌다. 스마트폰으로 QR코드를 찍자 유령 웹사이트에 접속되면서 악성코드가 자동 다운로드된 뒤 실행됐고 불과 30초 만에 휴대전화 안의 모든 정보가 줄줄이 유출됐다. 금융거래 정보는 물론이고 공격자가 문자로 명령어를 보내자 녹음기능이 작동돼 도청까지 가능했다. 이런 해킹은 악성코드 감염 여부를 알아보는 프로그램을 설치해도 제대로 걸러낼 수 없도록 돼 있어 사용자는 피해 여부조차 인지할 수 없다. 안드로이드 운영체제의 보안상 결함을 이용한 삼성 갤럭시 제품 해킹 시연은 이 자리에서 최초로 공개된 것이다. 유동훈 아이넷캅 연구소장은 “해킹 툴만 알면 전문 해커뿐 아니라 초보자도 몇십 초 만에 모든 정보를 해킹할 수 있다”며 “이렇게 해킹된 ‘좀비폰’이 3G망에 접속할 경우에는 피해 규모가 엄청나게 확산될 수 있지만 이에 대한 문제의식은 낮다”고 말했다.올해 농협 현대캐피탈 등 금융회사에서 대형 해킹사고가 잇따라 발생했는데도 정작 금융보안의 중요성에 대한 인식은 미흡한 상태다. 코스콤과 동아일보는 국내외 우수 보안전문가 발굴 및 국내 금융보안 환경 개선을 목적으로 24일부터 이틀간 ‘시큐인사이드’를 개최했다. 35개국, 400개 참가팀 중 예선을 통과한 8개 팀이 해킹방어대회 본선에 진출해 실력을 겨루는 한편 국내외 유명 해커들이 해킹과 관련된 새로운 위험과 트렌드, 대응 방안 등을 교류하는 콘퍼런스 등을 함께 가졌다.이번 행사에 참가한 국내 보안전문업체들은 중국 해커들이 국내 지방자치단체, 기업 홈페이지를 해킹하는 과정을 시연했다. 인터넷 게시판 등을 통해 공유되는 해킹 툴에 구글 검색 몇 번만으로 한 지자체 홈페이지에 수록된 개인정보가 1, 2분 만에 모두 새나갔다. 씨엔시큐리티 금재덕 부장은 “해킹 툴 공유에서 유출된 개인 정보의 거래에 이르기까지 중국 해킹은 상상 이상으로 광범위하고 조직적으로 이뤄지고 있다”고 말했다. 전문가들은 △신뢰할 수 없는 사이트나 ‘어플’ 주의하기 △발신인이 불명확한 e메일은 바로 삭제 △운영체제와 백신프로그램 최신버전 업데이트 등을 실천하는 정도가 개인이 할 수 있는 대응책이라고 소개했다.이날 해킹방어대회에서는 최근 농협 사태를 재현한 듯한 문제들이 출제돼 눈길을 끌었다. 외부 직원의 노트북에 악성코드를 감염시킨 뒤 시스템 제어권을 탈취해 기밀정보를 빼오도록 하거나 개인 금융거래나 기업 전산망에 접속할 때 주로 사용하는 일회용 비밀번호를 탈취하도록 한 문제들이었다. 해킹대회 현장에는 노트북마다 콘솔화면(서버에 명령어를 입력하는 화면)을 띄워 놓고 정신없이 키보드를 두드리는 해커들의 침묵 속 신경전이 팽팽했다. 김승주 고려대 정보보호대학원 교수는 “한국은 정보기술(IT)인프라 구축 수준에 비해 보안의식이 유난히 취약해 특히 금융부문에서 대형사고가 발생할 위험이 매우 높다”며 “보안전문가들을 발굴하고 국내외 최신 정보를 수집하는 등 해킹 위협에 신속하게 대응할 수 있는 체계를 구축해야 한다”고 말했다. 한편 올해 해킹방어대회 우승은 미국 카네기멜런대의 PPP(Plaid Parliment of Pwning)팀이 차지했다.박선희 기자 [email protected]
대량의 정보 담은 QR코드의 보안 취약점과 그 대응 방안은?
사진=freepik
최근 스마트폰의 보급 확대로 인해 QR(quick response-정보를 흑백 격자무늬 패턴으로 나타내는 사각형의 이차원 바코드로, 사진 및 동영상, 지도, 명함 등 다양한 정보를 저장할 수 있고, 고속 인식이 특징) 코드의 활용이 급속히 확산되고 있다.
2차원 바코드의 일종인 QR 코드는 간단한 URL(uniform resource locator-인터넷 웹페이지 주소)이나 명함 등에 폭넓게 사용되고 있으며, 특히 기업의 홍보수단으로 많이 사용되고 있다.
QR코드는 간단한 사진 촬영으로 정보를 획득할 수 있는 유용한 수단이지만, 한편으로는 의도적인 URL 하이재킹이나 잘못된 정보가 전달될 위험이 있다.
특히, QR코드는 위·변조되더라도 사용자가 인식하기가 거의 불가능하며, 이로 인해 개인정보가 유출되거나 악용될 가능성이 높지만 이에 대한 대책은 전무한 실정이다. 이러한 위협에 대해 분석하고 해결할 수 있는 방안을 조속히 마련할 것을 촉구한다.
요즘 편의점이나 마트에서 물건 산 뒤에 휴대전화 QR코드로도 결제할 수 있다. QR코드는 암호화된 거니까 안전할 거라고 생각하는데 조심해야 할 것도 있다.
– QR코드가 편리하고 유용한 기술이지만, 사용 시 보안에 주의해야
최근 온·오프라인을 막론하고 가장 많이 사용되는 IT보안 시스템을 하나 꼽으라면 ‘QR코드’라고 할 수 있다.
격자무늬 형태의 정사각형 모양 바코드 QR코드는 최대 4,296자의 문자를 입력할 수 있는 높은 정보저장능력 때문에 현 디지털사회에선 없어서는 안 될 기술이다.
특히, 최근에는 코로나19 방역을 위한 방역패스 등에 활용도가 높아 그 이용량이 더욱 증가했다. 하지만 IT분야 전문가들은 QR코드가 편리하고 유용한 기술인 것은 사실이지만, 사용 시 보안에 주의해야 한다고 경고한다.
보안을 염두에 두지 않는 QR코드 사용은 해킹이나 복제 등 사이버 범죄로 이어질 가능성이 높다는 것이다.
최근 한 사례로 고객 QR 코드에 결제 기능을 추가하는 앱이었는데, 앱 배포 과정에서 A씨의 QR 코드가 유출된 것이다.
화근은 업체가 전국 마트에 배포한 결제 어플 설치 설명서이다. 앱은 원래 내려 받은 뒤 설명서에 따라 본인이 설치해야 한다.
하지만 일부 고객들이 설명서의 QR 코드를 카메라로 찍으면 자동 설치되는 걸로 착각했고, 카메라를 댄 설명서 QR 코드에서 이 여성의 전화번호가 뜨자 안내번호로 알고 전화를 걸었던 것이다.
이 설명서는 회사가 운영하는 마트 300여 곳에 배포됐는데, 회사 측에 해결을 요청했지만 소용없었다. 전화가 빗발쳤다. 이 결제 앱을 설치한 사람들 역시 같은 피해를 볼 수 있다. 앱에서 생성된 QR 코드에 카메라를 대면 본인 전화번호가 뜨는데 앱에는 이런 설명이 없다.
블로그 등에 무심코 QR 코드를 올렸다가는 낭패 보기 십상인 것이다. QR 코드를 이용한 서비스를 만들 때는 다른 것보다도 훨씬 더 고객들한테 안전성에 대해서 충분히 고지할 필요가 있다. 이럴 경우 회사들이 QR 코드를 즉각 보완해야 한다.
– 대량의 정보 담은 QR코드의 보안 취약점은?
대부분의 사람들은 코로나 예방접종 인증 등 모두 자신의 핸드폰에 QR 코드를 받아 식당, 병원, 은행 등에서 사용하고 있다.
그러다보니 QR 코드를 변조하거나, 사람이 QR 코드를 읽을 수 없다는 점을 악용하여 악성 QR코드를 배포하는 등의 문제가 있다.
첫 번째 방법은 통합 URL 검증 사이트를 이용하여 QR 코드의 URL이 정상적인 사이트인지 확인을 해야 한다. 모든 URL이 통합 URL 검증 사이트에 등록이 되어있지 않기 때문이다.
두 번째 방법은 인증서를 이용하여 QR 코드로 생성하고자하는 정보에 대한 사인 값을 QR코드에 저장해야 한다. 단말기의 연산이 증가하기 때문이다.
– QR코드, 온·오프라인에서 보안 위협을 받는다.
사실 QR코드의 보안 위험성은 스마트폰이 도입된 초기부터 끊임없이 제기된 문제다. 그렇다면 QR코드가 가지고 있는 보안 위협은 무엇이 있을까.
전문가들은 QR코드가 바코드보다 훨씬 많은 양의 정보를 가지고 있으면서도 동시에 ‘공개’돼 있다는 점을 이유로 꼽는다.
QR코드를 사용하기 위해선 필연적으로 QR코드 그림이 드러날 수밖에 없다. 이때 기존 바코드가 가지고 있던 물건의 가격 수준의 정보가 아니라 전화번호, 주민번호 등 민감한 개인정보까지 포함된 QR코드를 복제하거나 왜곡할 경우 매우 큰 피해로 이어질 가능성이 높다.
문제는 범죄자들이 온라인에서 QR코드가 게재된 홈페이지를 해킹, 변조해 피싱 범죄(금융기관 등으로부터 개인정보를 불법적으로 알아내 이를 이용하는 사기수법)를 저지를 경우, 일반인들이 이를 쉽게 파악하기란 매우 어렵다는 점이다.
컴퓨터를 잘 모르는 일반인들이 보기엔 다 엇비슷해 보이는 그림일 뿐이기 때문이다. 특히, 오프라인에서 QR코드 그림을 바꿔치기할 경우엔 파악이 더욱 어려운데, 신문 등 오프라인 출력물인 경우 변조된 QR코드를 덧붙이기만 하면 되기 때문에 더욱더 손쉽게 공격의 대상이 될 수 있다
이런 QR코드 보안의 취약점은 실제 범죄로 이어지기도 하는데, 바로 신종 개인정보유출 사기인 ‘큐싱(Qshing)’ 범죄다. QR코드와 피싱의 합성어인 큐싱은 QR코드로 악성 앱 설치를 유도하는 신종 사이버 범죄다.
QR코드에 악성 앱 URL을 숨겨둔 후 사용자가 QR코드를 찍으면 저절로 스마트폰에 악성코드가 탑재된 앱이 설치된다. 이후 범죄자들은 사용자의 스마트폰에서 각종 개인정보와 금융정보를 탈취한다.
실제로 금융감독원에 따르면 2015년 한 신고자는 은행에서 스마트뱅킹으로 자금이체를 진행하던 중 추가인증이 필요하다며 나타난 QR코드를 스캔했다.
이후 수상한 생각에 은행에 조회를 요청한 결과, 게임머니 등으로 35만원이 자신도 모르는 사이에 결제 처리된 것으로 알려졌다.
ICT 보안 전문기업 SK쉴더스(전 ADT캡스)는 자사 블로그를 통해 “QR코드 사기를 예방하기 위해선 무엇보다 출처가 불확실한 QR코드 촬영은 자제하는 것이 중요하다”며 “큐싱 사기는 QR코드를 스캔하기 전까지 관련 내용을 알 수 없다는 점을 악용한 것이 특징”이라고 경고했다.
이어 “검증되지 않거나 의심스러운 QR코드는 가급적 인식하지 않고, 설사 QR코드를 인식했더라도 링크로 연결된 앱을 설치하지 말아야 한다.”며 “앱은 검증된 공식 마켓에서 다운로드하며, 공식 마켓에서도 악성 앱이 유포되는 경우가 있기 때문에 다운로드 전에는 꼭 사용자 리뷰를 확인하는 것이 좋다”고 조언했다.
– 편리한 QR코드, 안전하게 사용하려면?
그렇다면 큐싱 등 신종 사이버 범죄의 위협에서 안전하고 편리하게 QR코드를 사용할 수 있는 방법은 무엇일까.
양형규 강남대학교 ICT융합공학부 교수는 2012년 한국인터넷방송통신학회에 개제한 논문 ‘QR 코드의 보안 취약점과 대응 방안 연구’에서 ‘통합 URL 검증 사이트’ 운영과 ‘QR 코드의 무결성 검증 및 인증’이 QR코드의 보안 약점을 강화해줄 수 있는 방법이라고 설명했다.
첫 번째 ‘통합 URL 검증 사이트’ 운영은 QR코드의 스캔 결과 값을 악성 URL 데이터베이스와 비교한 후 정상적인 URL로 판정한 경우에만 연결하도록 하는 것이다.
통합 URL 검증 사이트 운영 방법은 다음과 같다. 먼저 사용자가 어떤 QR코드를 스캔하면, 사이트 내에 탑재된 스캐너가 해당 코드를 스캔하고 해당 URL을 검증사이트에 전송한다. URL을 전송받은 검증 사이트는 악성 URL 목록과 비교해 QR코드 인증 가능 여부를 다시 사용자의 스마트폰으로 전송하게 된다.
두 번째 ‘QR코드 무결성 검증 및 인증’ 방법은 QR코드 내에 기본 코드와 인증 코드 두가지를 탑재하는 방식이다. 첫 번째 QR코드에는 URL과 같은 정보가 포함돼 있으며, 두 번째 코드에는 첫 번째 QR코드에 대한 인증값이 포함돼 정보의 무결성을 검증하게 된다.
다만 양형규 교수는 두가지 방법 모두 QR코드 보안을 높일 수 있는 해결책이라고 보면서도 한계점이 있다고 봤다.
양 교수는 “통합 URL 검증 사이트를 이용할 경우 잠재적인 악성 URL을 포함해 모든 악성 URL을 확인할 수 있어야 하는데, 이는 현실적으로 매우 어려운 문제”라며 “만약 악성 URL을 효율적으로 식별할 수 없다면 사용자에게 정확한 정보를 줄 수 없기 때문에 오히려 더 위험한 결과를 초래할 수도 있다”고 지적했다.
이어 QR코드 무결성 및 인증방법에 대해서는 “모든 공격을 막을 수 있는 방법이지만 인증서 검증 등으로 인해 사용자 단말의 연산부담이 높다는 단점이 있다”며 “인증서검증을 온라인으로 처리할 수도 있지만, 사용자 단말에서는 서명검증 등의 추가연산이 필요하다”고 평가했다.
아울러 우리나라 정부도 모바일결제를 중심으로 결제시장의 혁신이 활성화되는 추세임에 따라 QR코드 보안성 강화의 중요성을 인지하고 이에 대한 결제표준을 제정 및 공표한 상태다. 지난 2018년 11월 금융위원회가 공표한 QR코드 결제 표준안을 살펴보면 다음과 같다.
먼저 금융위원회 결제 표준안에 따르면 QR코드를 발급할 시 국제표준에 따라 QR코드 최신 모델로 발급해야 한다. 위·변조방지를 위해 QR코드 내 자체 보안기능을 갖추고 민감한 개인·신용정보도 포함해서는 안 된다.
또한 소비자가 스캔할 때마다 거래금액을 입력하는 고정형 QR의 경우, 특수필름 부착과 잠금장치 설치 등 별도의 위조 및 방지조치를 갖춰야 하며, 변동형 QR의 경우 보안성 기준을 충족한 앱(발급 유효시간 3분)을 통해 QR코드를 발급하도록 한다.
QR코드 이용 시에는 결제사업자는 해킹 방지 대책을 세워야 하며, 소비자와 가맹자는 보안성이 인정되지 않은 임의의 QR코드 스캐너 등을 사용해선 안된다.
QR코드 파기 시에는 가맹 점주의 경우 가맹점 탈퇴·폐업 즉시 QR코드 파기 후 가맹점 관리자에게 신고해야 하며, 결제사업자는 유효하지 않은 QR코드 대해 결제차단 등의 조치를 취해야 한다.
제로페이 등 사용자 늘어나는 QR코드, 예상되는 보안 문제는
[이미지=iclickart]▲고정형 QR과 변동형 QR 비교[이미지=금융감독원] [보안뉴스 양원모 기자] 편의성을 앞세워 기존 결제 시스템을 대체할 수단으로 평가되는 QR코드(2차원 바코드) 사용자가 점점 늘어나는 추세다. 최근 지방자치단체를 중심으로 도입이 활발하다. 최근 가맹점 10만 곳을 돌파한 서울시 ‘제로페이’가 대표적이다. 지난해 말부터 시범사업 중인 제로페이는 QR코드를 통해 소비자 계좌에서 간편 이체가 가능해 결제 수수료가 없는 게 장점으로 꼽힌다.그러나 간편과 보안은 별개 문제다. 오히려 기술이 간편할수록 예상치 못한 곳에서 문제가 발생할 가능성이 높다. 사용과 생성이 간단한 QR코드도 마찬가지다. 특히, QR코드는 금전 결제와 연관된 경우가 많아 사용자들의 각별한 주의가 요구된다.‘큐싱(QR+피싱)’은 QR코드를 위조해 개인정보를 빼돌리는 범죄 수법이다. 거의 스미싱(SMS+피싱)과 짝을 이룬다. 문자 속 QR코드를 스캔하면 무료 쿠폰을 제공하겠다는 식으로 미끼를 던져 악성코드 설치를 유도하는 것이다. 피해자를 가짜 금융 사이트로 안내해 자금 이체나 결제를 요구하기도 한다.QR코드를 변조해 악성 링크의 실행 빈도를 조정한 뒤 필터링을 우회하는 것도 가능하다. 100번 결제하면 2번만 악성코드가 설치되도록 해 관제망을 빠져나가는 방법이다. QR코드의 물리적 탈취 위험성도 문제다. 2017년 중국에서는 공유 자전거에 붙은 위조 QR코드를 스캔했다가 시민들이 금전적 피해를 보는 사고가 잇따라 발생했다. 누군가 진짜 QR코드를 바꿔치기한 것이다.QR코드로 온라인 계정을 탈취하는 ‘QRL재킹’도 위험 요소다. 이집트 보안업체 시큐리티(Seekurity)의 정보보안연구원 모하메드 엘누비는 2016년 QR코드 로그인을 지원하는 미국의 인스턴트 메신저 왓츠앱 계정을 해킹하는 데 성공했다. 해커는 공격 대상의 QR세션을 초기화하고 미리 만든 피싱 사이트에 로그인 QR코드를 복사해 붙여넣는다. 이어 공격 대상에게 피싱 사이트를 보내 QR코드 스캔을 유도한다. 스캔이 끝나면 해커는 공격 대상의 계정으로 로그인된다.정부는 표준 제정을 통해 QR코드 보안 강화에 나서고 있다. 금융위원회는 지난해 11월 금융결제원, 금융보안원이 참여한 ‘QR코드 결제 표준’을 발표했다. 표준안에는 국제 표준에 따라 QR코드 최신 모델을 발급하고, 고정형 QR에는 특수필름을 부착해 위변조를 막는 내용 등이 담겼다. 변동형 QR는 보안성 기준을 충족한 앱을 통해서만 발급이 가능하도록 했다.고정형 QR이란 공급자가 QR코드를 출력해 일정 장소에 붙여두면 소비자가 이를 스캔해 돈을 지불하는 방식이다. 서울시 제로페이가 여기 속한다. 변동형 QR은 결제 앱에서 ‘결제’를 클릭해 소비자 QR코드를 생성하면, 가맹점이 QR리더기를 읽는 방식이다. 삼성페이, 카카오페이, 신한페이 등을 생각하면 된다.한국전화결제산업협회는 QR코드 범죄 피해를 막기 위해 3가지 방법을 제시하고 있다. △출처가 확실하지 않은 QR코드 촬영 자제 △검증되지 않은 앱을 다운받지 않도록 스마트폰을 설정 △PC와 스마트폰의 소프트웨어 최신 버전 업데이트 등이다. 안랩은 “공식 마켓에서도 악성 (QR코드) 앱이 유포되는 경우가 있기 때문에 다운로드 전에는 꼭 평판 정보를 확인하는 게 좋다”고 강조했다.[양원모 기자( [email protected] )]
www.boannews.com) 무단전재-재배포금지>
[실시간 e뉴스] ‘코로나 QR코드’ 뚫렸나?…정부의 답변
실시간 검색어를 통해 밤사이 이슈를 짚어보는 실시간 e뉴스입니다.
내일(24일) 0시부터 수도권의 사회적 거리두기가 2단계로 격상되죠.
누리꾼들은 텔레그램에서 ‘코로나19 출입 명단’이라며 개인정보가 팔리고 있다는 기사에 관심이 높았습니다.
해당 파일에는 이름과 전화번호, 사는 곳은 물론 체온까지 적힌 개인정보가 1만 건이 넘는다고 하는데요, 판매업자들은 이 개인정보 명단을 QR코드로 입력한 출입 기록을 해킹해서 만들었다고 주장했습니다.
시민 불안이 커지고 있는데 정부는 QR코드로부터 해킹될 가능성은 작다고 말했습니다.
QR 코드로는 누가, 어디를, 몇 시에 다녀갔는지만 기록하고 사는 곳이나 체온 등은 수집하지 않는다는 설명입니다.
실제 해당 개인정보가 QR코드로부터 해킹된 건지, 개인정보 자체가 맞는 건지도 확인되지 않았습니다.
경찰은 개인정보 판매업자의 텔레그램 계정과 계좌번호 등을 확보해 수사에 나섰습니다.
‘포털 접속하니 이상한 QR코드가’ 신종 해킹 확산
공유기 DNS 변경해 가짜 페이지로 연결…개인정보 빼돌려
(서울=연합뉴스) 고현실 기자 = # A 씨는 자주 가던 포털 사이트에 평소와 마찬가지로 스마트폰으로 접속했다. 하지만 이상하게도 ‘요청한 웹페이지를 잠시 방문할 수 없다’며 ‘QR코드를 찍어달라’는 메시지만 뜰 뿐 사이트에 접속할 수 없었다. 주소창에 다시 사이트 주소(도메인)를 입력해도 마찬가지였다.
위와 같은 일을 겪더라도 함부로 QR코드를 찍으면 안 된다. QR코드를 찍으면 악성 애플리케이션 사이트로 연결되기 때문이다. 해당 사이트에서 앱을 내려받는 순간 개인정보가 해커의 손에 들어가게 된다.
QR코드로 악성 앱 다운로드를 유도하는 가짜 웹페이지 [이스트시큐리티 제공]
25일 보안업체 이스트시큐리티에 따르면 이러한 방식의 큐싱(Qshing·QR코드를 이용한 해킹) 공격이 최근 안드로이드 운영체제(OS)를 사용하는 모바일 기기에서 잇따라 확인되고 있다.
광고
해당 공격은 가정과 공공장소 등에서 흔히 사용하는 인터넷 공유기를 침입 경로로 활용한다. 해커들은 보안이 취약한 공유기에 접근, 도메인 네임 서버(DNS)를 무단 변경해 악성 사이트로 연결한다.
DNS는 문자로 구성된 웹 주소를 숫자로 된 IP로 연결해주는 기능을 한다. DNS가 변조되면 사용자가 정상적인 도메인 주소를 입력해도 가짜 사이트로 연결되거나 가짜 안내창이 화면에 뜨게 된다.
공유기 DNS 변경을 이용한 또 다른 공격 사례도 확인됐다.
공격자는 이용자가 포털 사이트 메인 화면에서 뉴스·웹툰·스포츠 등의 하위 메뉴에 접속하면 ‘한층 개선된 크롬(Chrome)의 최신 버전이 출시됐습니다. 업데이트 후 이용해 주십시오.’라는 메시지를 띄운다. 이용자가 ‘확인’을 클릭하면 마찬가지로 악성 앱이 다운로드된다.
이스트시큐리티 관계자는 “이번 공격은 기존보다 더 정교한 방법을 사용했다”라며 “공유기 제어 프로그램(펌웨어)을 업데이트하고, 관리자 비밀번호를 설정해 공유기가 감염되지 않도록 주의해야 한다”고 말했다.
해당 악성 앱은 알약 등 모바일 백신 솔루션으로 진단과 치료가 가능하다.
악성 앱 다운로드를 유도하는 가짜 메시지 창 [이스트시큐리티 제공]
제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
키워드에 대한 정보 qr코드 해킹
다음은 Bing에서 qr코드 해킹 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 QR코드의 원리와 생성 방법
- QR코드
- 원리
- 구조
- 포맷
- 바코드
- 생성
- 알리페이
- 위챗페이
- 모바일결제
- 네이버
QR코드의 #원리와 #생성 #방법
YouTube에서 qr코드 해킹 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 QR코드의 원리와 생성 방법 | qr코드 해킹, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
