QR코드 스캔, 안전할까요? 큐싱(QR 피싱) 예방법과 안전한 QR코드 스캐너 고르는 법
결론부터 말씀드리면, QR코드 자체는 안전합니다. QR코드는 흑백 패턴에 정보를 담아둔 그림일 뿐이라 바이러스나 악성코드가 들어 있지 않습니다. 위험한 것은 코드가 아니라 코드가 연결하는 곳입니다. 그래서 스캔하기 전에 링크를 먼저 보여주는 안전한 QR코드 스캐너를 쓰고, 큐싱(QR 피싱)을 조심하면 거의 모든 위험을 피할 수 있습니다.
QR코드는 식당 테이블, 제품 라벨, 버스 정류장, 명함 등 일상 곳곳에 있습니다. 그만큼 자주 스캔하다 보니 “이거 스캔해도 괜찮나?” 하는 의문이 드는 것도 당연합니다. 이 글에서는 QR코드의 실제 위험과, 큐싱을 피하는 구체적인 방법, 그리고 안전한 QR코드 스캐너 앱을 고르는 기준을 정리해 드립니다.
QR코드는 어떻게 작동할까요
QR코드(큐알코드)는 검은색과 흰색 사각형의 패턴으로 정보를 저장하는 2차원 바코드입니다. 휴대폰 카메라나 QR코드 스캐너로 비추면, 휴대폰이 그 패턴을 데이터로 해독(디코딩)합니다. 대부분은 웹사이트 주소(URL)지만, 일반 텍스트, 연락처(명함), 와이파이 접속 정보가 담겨 있기도 합니다.
핵심은 이렇습니다. QR코드는 정보를 전달하는 통로일 뿐, 그 안에 악성 프로그램이 실행되어 있는 게 아닙니다. 종이에 적힌 인터넷 주소와 비슷합니다. 주소 자체는 해롭지 않지만, 그 주소가 가짜 사이트라면 문제가 되는 것과 같은 이치입니다.
QR코드의 진짜 위험: 큐싱(QR 피싱)
큐싱이란 무엇인가요
요즘 가장 주의해야 할 것이 큐싱(Qshing, QR 피싱) 입니다. QR코드(QR)와 피싱(phishing)을 합친 말로, 정상 QR코드 위에 가짜 QR코드 스티커를 덧붙여 사람을 가짜 사이트로 유도하는 수법입니다. 한국인터넷진흥원(KISA)도 큐싱 피해가 늘고 있다고 꾸준히 경고하고 있습니다.
전형적인 수법은 이렇습니다.
- 주차 정산기, 식당 테이블, 공공장소 안내문에 붙은 진짜 QR코드 위에 가짜 스티커를 붙입니다.
- 스캔하면 진짜처럼 보이는 가짜 결제·로그인 페이지로 연결됩니다.
- 거기서 카드 정보나 계정 정보를 입력하면 그대로 탈취됩니다.
QR코드는 눈으로 봐서는 어디로 연결되는지 알 수 없습니다. 그래서 평소 문자 속 수상한 링크는 경계하는 사람도, QR코드는 무심코 스캔해 버리는 경우가 많습니다. 큐싱은 바로 이 빈틈을 노립니다.
가짜 앱 설치 유도와 개인정보 수집
큐싱은 결제 페이지뿐 아니라 악성 앱 설치 유도로도 이어집니다. “택배 주소를 확인하세요”, “교통 위반 과태료를 조회하세요” 같은 문구와 함께 QR코드를 보여주고, 스캔하면 정체불명의 앱(APK) 설치를 유도하는 식입니다. 일부 페이지는 추적 스크립트로 개인정보를 과도하게 수집하거나, 여러 주소를 거치며 사용자의 행동을 프로파일링하기도 합니다.
안전하게 스캔하는 5가지 습관
몇 가지 습관만 들이면 대부분의 큐싱과 피싱을 막을 수 있습니다.
1. 열기 전에 링크(URL)를 먼저 확인하세요
가장 중요한 습관입니다. 좋은 QR코드 스캐너는 어떤 동작을 하기 전에 해독된 내용을 먼저 화면에 보여줍니다. QR Toolkit이 바로 이 원칙으로 설계되었습니다. 코드를 비추면 해독은 기기에서 이루어지고, 앱은 연결될 주소 전체를 화면에 먼저 표시합니다. 링크를 열지, 복사할지, 닫을지는 사용자가 직접 정합니다. 사용자가 승인하기 전에는 아무 일도 일어나지 않으니 큐싱에 대비하기에 좋습니다.
2. 주소가 진짜인지 꼼꼼히 보세요
링크가 보이면 도메인을 자세히 확인하세요.
- 내가 기대한 브랜드·기관의 도메인과 정확히 일치하나요?
- “naver.com”처럼 보이지만 미묘하게 철자가 다르지는 않나요? (예: 글자 하나만 바꾼 유사 도메인)
- 의미를 알 수 없는 단축 주소나 낯선 도메인 확장자가 붙어 있지는 않나요?
조금이라도 이상하면 열지 마세요.
3. 안전한 QR코드 스캐너 앱을 쓰세요
휴대폰 기본 카메라는 보통 링크를 바로 열어버려 살펴볼 틈을 거의 주지 않습니다. 전용 QR코드 스캐너 앱을 쓰면 통제권이 훨씬 커집니다. 고를 때는 다음을 확인하세요.
- 링크를 열기 전에 내용 미리 보기를 보여주는가
- 스캔 기록을 안전하게 보관하는가
- 광고나 추적을 끼워 넣지 않는가
4. 결제 QR코드는 공식 앱으로만
한국에서 일상적인 결제는 네이버페이, 카카오페이, 토스 같은 공식 결제 앱의 QR 기능 안에서 이루어집니다. 이런 결제 흐름은 각 앱이 보안을 책임집니다. 반대로, 출처가 불분명한 QR코드를 스캔했더니 갑자기 결제·로그인 화면이 뜬다면 큐싱일 가능성이 큽니다. 그 자리에서 정보를 입력하지 말고, 결제는 반드시 공식 앱을 직접 열어서 진행하세요.
5. 공공장소 QR코드와 휴대폰 업데이트
공공장소의 QR코드는 한 번 더 의심하세요. 잘 알려진 업체의 공식 안내판은 대체로 괜찮지만, 출처를 알 수 없는 스티커, 기둥에 붙은 전단지, 다른 코드 위에 덧붙여진 듯한 코드는 스캔하지 않는 편이 안전합니다. 또한 최신 iOS·Android에는 알려진 피싱 사이트와 악성 다운로드를 막는 기능이 기본 탑재되어 있으니, 운영체제와 브라우저를 최신 상태로 유지하세요.
사업자라면 고객 보호도 함께
QR코드로 메뉴판, 이벤트, 후기 등을 운영한다면 고객을 보호할 책임도 따라옵니다.
- HTTPS 주소를 사용하세요. 암호화된 연결로 중간 가로채기를 막습니다.
- 본인 소유 도메인을 쓰세요. 무료 단축 URL은 서비스 종료·침해 시 코드가 엉뚱한 곳으로 연결될 수 있습니다.
- 실물 코드를 주기적으로 점검하세요. 누군가 가짜 스티커를 덧붙이지 않았는지 확인하세요(큐싱 예방).
- 직원을 교육하세요. 업무 기기에서 출처 불명 QR코드를 스캔하지 않도록 안내하세요.
자주 묻는 질문
QR코드를 스캔하면 바이러스에 걸리나요?
QR코드 자체에는 바이러스가 들어 있지 않습니다. 위험은 코드가 연결하는 가짜 사이트나 악성 앱 설치 유도에서 생깁니다. 링크를 먼저 보여주는 안전한 QR코드 스캐너를 쓰고, 출처가 불분명한 코드는 열지 않으면 대부분 막을 수 있습니다.
무료 QR코드 스캐너 앱은 안전한가요?
앱마다 다릅니다. 무료 앱 중에는 광고를 띄우거나 추적 SDK·광고 ID로 사용 정보를 수집하는 경우가 많습니다. QR Toolkit은 광고와 추적 SDK, 광고 ID를 사용하지 않고, 스캔한 코드를 기기에서 해독한 뒤 링크를 먼저 보여줍니다. 스캔·생성 기록은 본인 계정에만 저장되며 행 수준 보안(RLS)으로 보호되어 오직 본인만 열람할 수 있습니다.
큐싱(QR 피싱)인지 어떻게 알 수 있나요?
스캔 후 갑자기 결제·로그인·개인정보 입력을 요구하거나, 기관을 사칭하며 앱 설치를 유도하면 큐싱을 의심하세요. 안내문 위에 스티커가 덧붙여진 흔적이 있어도 마찬가지입니다. 그 자리에서 입력하지 말고, 결제·로그인은 네이버페이·카카오페이·토스 등 공식 앱을 직접 열어 진행하세요.
마무리
QR코드는 기본적인 주의만 지키면 안전하고 편리한 기술입니다. 위험은 연결 대상을 확인하지 않고 무작정 따라가는 데서 생기며, 이는 인터넷의 모든 링크에 똑같이 존재합니다.
QR Toolkit처럼 동작 전에 코드 안의 링크를 먼저 보여주는 앱으로 똑똑하게 스캔하세요. 열기 전에 주소를 확인하고, 공공장소 코드와 큐싱을 경계하면 내가 모든 것을 통제하는 가운데 자신 있게 스캔할 수 있습니다.