큐싱(QR코드 피싱) 주의보 – QR 찍기 전 반드시 확인해야 할 보안 수칙 2026

목차

• 큐싱(Qshing)이란 무엇인가
• 큐싱 4가지 대표 수법
• KISA 권장 큐싱 예방 수칙 4가지
• 큐싱 피해를 당했다면 신고하는 방법
• 자주 묻는 질문 (FAQ)

요즘 카페 메뉴판, 주차 안내판, 결제 단말기까지 QR코드가 넘쳐납니다. 별 생각 없이 스마트폰을 갖다 대는 게 일상이 됐죠. 그런데 그 QR코드, 정말 안전한 건지 한 번이라도 의심해 본 적 있으신가요?

KISA 보호나라가 공식 경고를 내린 큐싱(Qshing)은 바로 이 믿음을 역이용한 사기 수법입니다. QR코드 한 번 찍었다가 개인정보가 통째로 털리거나 악성 앱이 몰래 설치되는 피해가 실제로 발생하고 있습니다.

이 글에서는 큐싱의 정체, 4가지 주요 수법, 그리고 KISA가 직접 안내한 예방 수칙까지 한눈에 정리해 드립니다.

KISA 보호나라 공식 확인하기 →

큐싱(Qshing)이란 무엇인가

큐싱은 QR(Quick Response) 코드와 피싱(Phishing)을 합친 신조어입니다. 악성 QR코드를 스마트폰으로 스캔하면 가짜 사이트로 연결되거나, 악성 앱이 자동 설치되어 개인정보·금융정보가 유출됩니다.

스미싱(문자 피싱)이나 보이스피싱은 많이 알려졌지만, QR코드를 이용한 큐싱은 상대적으로 덜 알려져 있어 피해가 증가하는 추세입니다.

큐싱이 위험한 이유

• QR코드는 사람이 직접 URL을 읽을 수 없어 악성 여부 판단이 어렵습니다
• 오프라인 실물(스티커, 안내판)에 붙어 있어 진짜처럼 보입니다
• 스캔과 동시에 악성 사이트로 바로 이동합니다
• 앱 설치 권한만 허용하면 금융·개인정보 탈취가 즉시 시작됩니다

큐싱 4가지 대표 수법

실제로 피해자들이 당한 큐싱의 유형을 구체적으로 살펴봅니다. 어디서든 마주칠 수 있는 상황들입니다.

1. 주차 위반 스티커 위장형

가장 흔한 수법입니다. 주차된 차량에 ‘과태료 납부 안내’ 가짜 스티커를 붙여 놓고, 거기에 인쇄된 QR코드를 찍으면 악성 사이트로 연결됩니다. 급한 마음에 빨리 처리하려다 보면 순식간에 개인정보를 입력하게 됩니다.

2. 공공시설 부착형

버스정류장, 은행 ATM, 음식점 테이블 등 공공장소에 있는 정식 QR코드 위에 악성 QR코드 스티커를 덧붙이는 방식입니다. 기존 QR코드인 줄 알고 찍었다가 피싱 사이트로 연결됩니다.

3. 이메일·문자 첨부형

정상적인 기업이나 기관을 사칭한 이메일·문자에 QR코드 이미지를 첨부합니다. “아래 QR코드를 스캔하여 인증을 완료하세요”라는 문구와 함께 보내 의심을 줄입니다.

4. 탁보드·배달 앱 위장형

배달 앱이나 공유 킥보드 업체를 사칭한 QR코드로, 기기 반납이나 결제 화면으로 위장합니다. 앱 설치를 유도하거나 카드 정보 입력을 요구하는 방식으로 금융 피해로 이어집니다.

스마트초이스에서 보안 정보 확인하기 →

KISA 권장 큐싱 예방 수칙 4가지

KISA 보호나라는 큐싱 피해를 막기 위해 다음 4가지 수칙을 공식 안내합니다.

수칙 1. QR코드 스캔 전 출처·제공 기관 확인

QR코드를 찍기 전에 해당 QR코드가 공식적으로 설치된 것인지 먼저 확인합니다. 스티커가 위에 덧붙여진 것처럼 보이거나, 안내판과 어울리지 않는 느낌이 들면 일단 멈춥니다.

수칙 2. 단축 URL은 원본 주소 먼저 확인 후 접속

QR코드로 연결된 URL이 단축 주소(bit.ly, tinyurl 등)라면 원본 URL을 먼저 확인합니다. URL 미리보기 서비스를 활용하거나, 단축 URL 뒤에 + 기호를 붙여 목적지를 먼저 확인하는 방법이 있습니다.

수칙 3. QR 연결 후 앱 설치 요구 시 즉시 중단

QR코드를 스캔했을 때 앱 설치를 요구하면 무조건 중단합니다. 정상적인 기관이나 서비스는 QR코드를 통해 갑작스럽게 앱 설치를 강요하지 않습니다.

수칙 4. KISA 보호나라 스미싱 확인 서비스 활용

의심스러운 URL이나 링크가 있다면 KISA 보호나라의 스미싱 확인 서비스를 통해 악성 여부를 사전에 점검합니다. 무료로 이용할 수 있으며, 스마트폰 브라우저에서 바로 확인 가능합니다.

큐싱 피해를 당했다면 신고하는 방법

이미 QR코드를 찍었거나 개인정보를 입력했다면 즉각 대응이 필요합니다.

• 118 (국번 없이) – KISA 인터넷침해대응센터 24시간 운영
• 보호나라(boho.or.kr) – 악성 앱 삭제 지원, 피해 접수
• 경찰청 사이버범죄신고시스템(ECRM) – 금전 피해 발생 시 수사 의뢰

금융 정보가 유출된 경우에는 즉시 카드사와 은행에 연락해 카드 정지 및 계좌 거래 정지를 요청해야 합니다.

KISA 보호나라 스미싱 확인 서비스 바로가기 →

자주 묻는 질문 (FAQ)

Q. QR코드만 찍어도 피해가 발생하나요?

A. QR코드를 스캔하는 것만으로 즉각적인 피해는 드뭅니다. 그러나 연결된 사이트에서 개인정보를 입력하거나 앱 설치를 허용하면 피해가 시작됩니다. 스캔 후 이상한 화면이 나타나면 즉시 창을 닫는 것이 중요합니다.

Q. 큐싱 QR코드와 정상 QR코드를 눈으로 구분할 수 있나요?

A. 외형으로 구분하기는 거의 불가능합니다. 대신 QR코드가 설치된 위치, 주변 안내문과의 연관성, 스캔 후 연결되는 URL 등으로 판단해야 합니다.

Q. 스마트폰 기본 카메라 앱으로 QR을 찍으면 더 위험한가요?

A. 카메라 앱 자체보다는 연결되는 사이트나 앱이 문제입니다. 다만 일부 보안 QR리더 앱은 URL 사전 검사 기능을 제공하므로 활용하면 도움이 됩니다.

Q. 큐싱 피해 신고는 어디에 하나요?

A. KISA 인터넷침해대응센터(118)에 신고하거나 보호나라(boho.or.kr)를 통해 피해 접수를 할 수 있습니다. 금전 피해가 발생한 경우 경찰청 사이버범죄신고시스템(ECRM)에 수사 의뢰를 합니다.

이 글이 마음에 드세요?

RSS 피드를 구독하세요!