티스토리 뷰
QR코드는 원래 “입력을 줄여주는 편의 도구”였지만, 그 편의가 그대로 공격면이 되기도 합니다. 주소를 직접 타이핑하지 않으니 오타 위험은 줄어들지만, 동시에 사용자는 “어디로 이동하는지”를 확인할 기회를 잃습니다. 공격자는 이 지점을 노립니다. 길거리 포스터, 카페 테이블, 주차정산기, 행사장 안내판, 심지어 가짜 스티커를 덧붙여 QR을 바꿔치기 하는 방식으로 사용자를 피싱 사이트로 유도합니다. 이게 바로 QR코드 피싱, 이른바 큐싱(Qshing)입니다. 특히 2026년에는 결제·예약·출입 인증·설문이 QR로 많이 이동하면서, “QR은 안전하다”는 착각이 위험해졌습니다. 이 글은 QR을 무서워하자는 내용이 아니라, QR을 계속 쓰되 사고가 나는 지점을 명확히 알고, 스캔 전·후에 딱 몇 가지를 확인하는 습관으로 피해를 줄이는 실전 가이드입니다. QR을 찍는 순간 어디를 봐야 하는지(미리보기 URL, 도메인, https 착시), 현장에서 어떤 QR이 위험한지(스티커 덧붙임, 비정상 위치, 과도한 혜택 문구), 결제 QR에서 특히 조심해야 할 포인트, 그리고 이미 눌렀을 때 바로 해야 할 행동까지 정리합니다. 목표는 단 하나입니다. “QR을 찍더라도, 링크를 통제하는 쪽은 내가 되기”입니다.
서론: QR코드는 ‘보안’이 아니라 ‘전달 방식’이다
많은 사람이 QR을 안전하다고 느끼는 이유는 “내가 주소를 안 쳤으니 피싱이 줄겠지”라는 직감 때문입니다. 하지만 QR코드는 안전 장치가 아니라 단지 URL을 전달하는 방식입니다. QR 안에는 보통 링크(웹주소)가 들어 있고, 결국 사용자는 그 링크로 이동합니다. 즉, QR의 안전성은 QR 자체가 아니라 QR이 가리키는 링크의 안전성에 달려 있습니다. 공격자는 QR코드 자체를 해킹할 필요도 없습니다. 이미 붙어 있는 QR 위에 가짜 QR 스티커를 덧붙이거나, “할인/쿠폰/무료 와이파이” 같은 유혹 문구를 곁들여 스캔을 유도하면 됩니다. 그리고 QR은 ‘실물’과 결합되는 경우가 많아서 더 까다롭습니다. 포스터나 안내문은 사람에게 신뢰감을 줍니다. “현장에 붙어 있으니 진짜겠지”라는 심리가 생기죠. 하지만 스티커 한 장이면 바뀔 수 있습니다. 그래서 QR의 핵심은 스캔 자체를 막는 게 아니라, 스캔할 때 URL을 확인하고, 결제/로그인 같은 민감 행동을 분리하는 습관을 만드는 것입니다.
본론: QR코드(큐싱) 사고를 막는 스캔 전·후 체크포인트
1) 스캔 전 3초: “QR이 정상적으로 붙어 있는지” 먼저 본다
큐싱의 가장 흔한 방식은 QR “바꿔치기”입니다. 아래 중 하나라도 보이면 경계 신호로 생각하세요.
- QR 위에 스티커가 덧붙여진 흔적(테두리 겹침, 기포, 삐뚤게 붙음)
- 안내문과 어울리지 않는 새 스티커/새 종이 느낌
- QR이 원래 있을 법한 위치가 아닌 곳(예: 결제 단말 옆 이상한 스티커)
- “지금만 무료/즉시 할인” 등 과도한 혜택 문구로 스캔을 강요
이 단계에서 이상하면, 직원에게 확인하거나 공식 앱/공식 사이트로 직접 진행하는 게 안전합니다.
2) 스캔 직후 1초: “열리기 전에 URL 미리보기(도메인)”를 본다
대부분의 QR 스캐너/카메라는 링크를 바로 열기 전에 URL을 보여줍니다. 이 순간이 핵심입니다.
- 확인할 것: 도메인(진짜 주소) / 낯선 확장자 / 단축 링크 여부
- 위험 신호: bit.ly 같은 단축 URL, 숫자 IP 주소, 의미 없는 문자열, 공식처럼 보이지만 미묘하게 다른 철자
QR은 “타이핑을 안 해서 안전”한 게 아니라, URL을 더 꼭 봐야 안전합니다.
3) ‘https’만 보고 안심하지 말기
https는 통신 암호화일 뿐, 사이트가 공식이라는 의미가 아닙니다. 큐싱 피싱 페이지도 https를 쉽게 씁니다. 따라서 https보다 도메인을 먼저 보세요.
4) 결제 QR에서는 ‘계정 로그인’과 ‘카드 정보 입력’이 나오면 일단 중단
정상 결제 흐름은 보통 간단합니다(앱 전환, 결제 금액 확인, 인증). 그런데 QR 스캔 후 갑자기 이런 화면이 나오면 위험 신호입니다.
- “로그인 필요”를 강하게 요구(특히 비밀번호 재입력)
- 카드번호/유효기간/CVC 입력 요구
- 신분증/개인정보 과도 요구
- 앱 설치 요구(APK 다운로드, 출처 허용 등)
이 경우 정답은: 즉시 종료 → 공식 앱/공식 사이트로 재진입입니다.
5) “주차/주문/예약 QR”은 반드시 ‘금액/대상’이 맞는지 확인
큐싱은 금전 피해뿐 아니라 “잘못된 결제 유도”로도 이어집니다. QR 스캔 후 결제 금액, 상호명, 주문 대상(매장명), 예약 정보가 맞는지 확인하세요. 맞지 않으면 결제하지 말고 직원에게 확인하는 게 안전합니다.
6) QR로 와이파이 연결 유도? 특히 조심
“무료 와이파이 QR”은 유혹이 강하지만, 연결 이후 피싱 페이지로 유도되거나 악성 프로파일/앱 설치로 이어질 수 있습니다. 공항/카페라면 공식 안내판·직원 안내·공식 SSID를 확인하고, QR 하나로 모든 게 해결된다는 흐름을 경계하세요.
7) 안전 행동 원칙 3가지(외우기용)
- QR 스캔 전: 스티커 덧붙임/이상한 위치/과도한 혜택 문구 체크
- QR 스캔 후: 도메인 확인(낯설면 열지 않기)
- 민감 행동: 로그인·결제는 “공식 앱/공식 사이트 직접 접속”으로 처리
8) 이미 눌렀다면: 바로 해야 할 최소 대응
- 결제/로그인 정보를 입력했다면: 해당 계정 비밀번호 변경 + 2FA 점검(가능하면 강화), 결제수단 이상 여부 확인
- 앱 설치까지 했다면: 네트워크 차단(비행기 모드) → 의심 앱 삭제/권한 해제 → 금융/이메일 우선 점검(이전 글의 골든타임 루틴 적용)
핵심은 “더 진행하지 말고, 피해 확산을 끊는 것”입니다.
결론: QR은 계속 쓰되, “URL 확인 + 공식 채널 재진입”만 습관화하면 된다
QR코드는 앞으로도 더 많이 쓰일 겁니다. 그래서 정답은 QR을 피하는 게 아니라, QR을 안전하게 쓰는 루틴을 갖는 것입니다. QR 스캔 전에는 스티커 덧붙임과 이상한 안내를 보고, 스캔 후에는 도메인을 확인하고, 결제·로그인 같은 민감 행동은 공식 앱/공식 사이트로 직접 들어가 처리하는 것. 이 세 가지만 습관화해도 큐싱 피해 확률은 크게 떨어집니다. 특히 현장에서 “지금 당장 스캔하세요” 같은 압박 문구가 보이면, 그 순간이 가장 위험합니다. 멈추고, URL을 보고, 공식 채널로 들어가면 됩니다. 결국 보안은 지식이 아니라 행동입니다. 다음 글(25번)에서는 중고거래 사기에서 자주 쓰는 계좌·대화 패턴을 분석해서, 거래 시작 1분 안에 위험도를 가늠하는 체크포인트를 정리하겠습니다.