금감원 "QR코드 통해 악성 앱 유포, 본인도 모르게 소액결제 피해"…폰키퍼 앱 내려받아 예방
'유명 외식업 무료 쿠폰 제공' 문자오면 스미싱 의심해봐야
[아시아경제 임선태 기자]금융당국이 QR코드로 악성코드를 유포해 금융사기에 활용하는 '큐싱(Qshing)' 피해에 대한 금융소비자들의 각별한 주의를 당부했다.
금융감독원은 28일 "폰뱅킹 사용자에게 인증이 필요한 것처럼 속여 QR코드를 통해 악성 애플리케이션을 내려 받도록 유도한 후, 본인도 모르게 소액결제가 되는 큐싱 사기 피해가 나타났다"며 "각별한 주의가 필요하다"고 밝혔다.
격자무늬의 2차원 코드인 QR코드는 스마트폰으로 스캔하면 각종 정보를 제공받을 수 있다. 큐싱은 QR코드와 '낚는다'(Fishing)는 의미의 합성어다.
피해 사례는 QR코드의 악성 앱에 따라 카메라가 작동된 것으로 추정된다는 게 금감원 설명이다.
금감원은 "사용자가 정상 금융 사이트에 접속하더라도 가짜 금융 사이트로 연결되게 하고, 가짜 금융 사이트에서 추가인증이 필요한 것처럼 QR코드를 보여준 후 악성 앱이 설치되도록 유도한다"고 설명했다.
이어 "앱을 통해 보안카드 등 정보를 탈취하고 문자 수신방해, 착신전환 서비스 설정 등 모바일 환경을 조작해 소액결제, 자금이체 등 금전적 이득을 취하는 게 큐싱"이라고 전했다.
금감원은 큐싱 피해를 줄이기 위해선 금융소비자들이 스마트폰 보안점검 앱 '폰키퍼' 등을 활용한 악성코드 감염방지 노력에 나서야 한다고 강조했다. 폰키퍼는 한국인터넷진흥원(KISA)에서 배포한 앱이다.
금감원은 또 '유명 외식업 무료 쿠폰 제공'이라는 내용의 문자메시지를 받고 웹사이트에 접속했다가 본인도 모르게 수십만원씩 결제되는 스미싱(Smishing) 피해 사례도 접수됐다고 했다.
스미싱은 휴대전화 단문메시지(SMS)를 이용해 개인정보를 탈취, 금전피해를 끼치는 전자금융사기 유형으로 SMS와 피싱(Phishing)의 합성어다.
이번 스미싱은 스마트폰 사용자의 관심사항 등을 미끼로 '○○서비스를 받고자 한다면 앱을 내려 받아야 한다'는 내용으로 불특정 다수에게 악성코드 실행경로를 포함한 문자를 발송하는 것으로 시작됐다.
이러한 스미싱 유도문자는 청첩장, 돌잔치 초대, 경찰 출석 요구서, 교통범칙금 조회, 건강보험공단 무료 진단, 카드대금 조회 등 그 유형이 다양하고 교묘하게 진화되고 있는 것으로 나타났다.
금감원은 "소액결제를 이용하지 않는 경우 통신사 콜센터를 통해 소액결제 기능을 차단해 주도록 요청하는 게 좋다"고 했다.
피해발생 시 대응요령과 관련 금감원은 "피해가 발생할 경우 피해자는 경찰서에 피해내역을 지참하고 '사건사고 사실확인원'을 발급받아 통신사 고객센터에 금융사기 피해접수 및 사건사고 사실확인원을 제출하면 된다"고 덧붙였다.
임선태 기자 neojwalker@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>