스마트폰으로 무심코 인식한 QR(Quick Response)코드로 인해 악성코드에 감염될 가능성이 높아 사용자 주의가 필요하다.
자동으로 접속되는 QR코드 리더를 사용하거나 사용자가 실수 또는 호기심으로 확인되지 않은 QR코드에 함부로 접속하면 악의적인 웹 사이트에 연결돼 악성코드를 내려 받을 가능성이 높기 때문이다.
특히, 내려 받은 악성코드가 어떤 증상을 보이느냐에 따라 스마트폰에서 개인정보가 유출되거나 분산서비스거부(DDoS) 공격에 이용되기도 한다. 즉, 로그인된 웹 사이트에서 QR코드를 읽어 웹 브라우저로 접근할 때 XSS(Cross Site Scripting)를 통해 해당 웹사이트의 로그인 정보를 획득하거나 게시판·회원정보와 같은 데이터를 수정할 수도 있다. 특정서버의 취약점을 공격하는 코드가 담긴 QR코드를 읽을 경우 자신도 모르게 다른 컴퓨터를 공격할 수도 있다.
안철수연구소 조시행 상무는 “개인정보를 탈취하기 위해 혈안이 된 해커들은 개인정보 탈취의 또 다른 수단으로 QR코드를 주목하고 있다”며 “QR 코드가 스마트폰에 저장되어 있는 사용자 정보를 빼내서 스마트폰 사용자 지인에게 이메일로 전송하는 것이 가능하다”고 말했다.
이러한 QR코드로 인한 피해를 막기 위해서는 단순히 재미삼아서 또는 스마트폰의 앱을 사용해 보고 싶어서 출처가 불확실한 QR코드를 무턱대고 인식하는 행동을 자제해야 한다. 특히, QR코드를 자동으로 읽고 접속하는 리더 애플리케이션을 설치하지 말고 사용자에게 웹 사이트의 정보를 정확히 제공한 후 사용자가 선택해서 접속하는 리더 애플리케이션을 선택해야한다.
조 상무는 “검증된 곳이나 기업에서 제공하는 QR코드는 상대적으로 안전하지만 신분이 불분명한 개인이 만든 QR코드나 의심이 가는 QR코드를 읽은 후 링크에 접속하는 행동은 자제해야 한다”고 조언했다.
또 그는 “주기적으로 스마트폰도 컴퓨터처럼 전용 백신을 이용해 사용자 차원에서 보안 점검을 해주는 것이 좋다”고 설명했다.
◇용어설명: QR코드는 기존 가로형태의 바코드에서 가로, 세로 두방향으로 정보를 가짐으로 기록할 수 있는 정보량을 획기적으로 늘린 2차원 형태의 코드를 말한다. 스마트폰 이용자들은 QR코드를 읽을 수 있는 애플리케이션으로 QR코드를 찍으면 QR코드가 담고 있는 동영상이나 사진, 제품 관련 정보를 바로 확인할 수 있다.
장윤정기자 linda@etnews.co.kr