§ 01 article

가짜 QR코드 구별법 (큐싱 예방)

작성자: QR Toolkit 팀 · 게시: 2026-05-21

#가짜 QR코드#큐싱#QR 피싱#안전한 QR 스캐너#QR코드 보안

가짜 QR코드를 구별하는 가장 확실한 방법은 스캔한 뒤 바로 열지 말고, 연결될 링크 전체를 먼저 확인하는 것입니다. 큐싱(QR 피싱)은 진짜 코드 위에 가짜 스티커를 덧붙이거나, 진짜와 비슷해 보이는 도메인으로 유도해 로그인 정보나 결제 정보를 빼내는 수법입니다. 도메인을 한 글자씩 확인하고, 예상치 못한 코드에서는 절대 로그인이나 결제를 하지 마세요.

이 글에서는 가짜 QR코드의 전형적인 수법, 열기 전에 확인할 체크리스트, 그리고 안전하게 스캔하는 습관을 정리합니다.

큐싱(QR 피싱)이란

큐싱은 ‘QR’과 ‘피싱(phishing)‘을 합친 말로, QR코드를 미끼로 한 사기 수법입니다. 공격자는 사람들이 코드를 무심코 스캔한다는 점을 노립니다. 스캔한 링크는 보통 화면에 짧게만 보이거나 바로 열리기 때문에, 가짜 주소를 알아채기 어렵습니다.

큐싱이 위험한 이유는 다음과 같습니다.

  • 코드만 봐서는 어디로 연결될지 사람 눈으로 알 수 없습니다.
  • 공공장소(주차장, 식당, 게시판)의 코드는 누구나 바꿔 붙일 수 있습니다.
  • 가짜 로그인·결제 화면은 진짜와 거의 똑같이 만들 수 있습니다.

가짜 QR코드의 전형적인 수법

다음과 같은 상황을 특히 조심하세요.

  • 덧붙인 스티커 — 진짜 코드(주차 요금 안내, 식당 메뉴, 포스터) 위에 가짜 QR 스티커를 붙입니다. 가장자리가 들떠 있거나 다른 인쇄물과 재질·색이 다르면 의심하세요.
  • 유사 도메인naver-pay.example.com처럼 진짜 브랜드와 비슷하지만 미묘하게 다른 주소로 유도합니다.
  • 단축 URL 남용 — 짧은 링크 뒤에 진짜 목적지를 숨깁니다. 어디로 가는지 보이지 않으면 경계하세요.
  • 긴급함 유도 — “지금 결제하지 않으면 과태료”, “계정이 잠겼습니다” 같은 문구로 급하게 행동하게 만듭니다.
  • 출처 불명 코드 — 받지 않은 우편물, 길거리 전단, 모르는 사람이 보낸 코드.

열기 전 확인 체크리스트

스캔 후 링크를 열기 전에 다음을 확인하세요.

  1. 도메인을 끝까지 읽으세요. 진짜 도메인은 보통 브랜드명.co.kr 또는 브랜드명.com처럼 끝납니다. 점(.) 앞뒤 단어를 꼼꼼히 보세요.
  2. HTTPS와 철자를 확인하세요. 비슷한 글자(0과 O, l과 1)로 속이는 경우가 많습니다.
  3. 갑작스러운 로그인·결제 요구를 의심하세요. 메뉴를 보려고 스캔했는데 로그인 화면이 뜨면 멈추세요.
  4. 물리적 코드를 살펴보세요. 스티커가 덧붙여진 흔적이 있는지 손으로 확인하세요.
  5. 앱 설치를 강요하면 거부하세요. 공식 스토어가 아닌 곳에서 받는 앱은 위험합니다.

안전하게 스캔하는 습관

가장 좋은 방어는 링크를 먼저 보여 주는 스캐너를 쓰는 것입니다. QR Toolkit은 코드를 스캔하면 곧바로 이동하지 않고 연결될 전체 링크를 먼저 화면에 보여 줍니다. 덕분에 도메인을 직접 확인한 뒤 열지, 말지 스스로 결정할 수 있습니다.

또한 QR Toolkit은 스캔을 추적 서비스로 흘려보내지 않고 기기에서 디코딩합니다. 검색 가능한 기록은 본인 계정에만 저장되어 행 수준 보안(RLS)으로 보호되고, 오직 본인만 열람할 수 있습니다.

QR코드의 전반적인 안전 원칙은 QR코드는 안전한가요? 글에서 더 다룹니다.

의심스러운 코드를 이미 열었다면

  • 개인정보·비밀번호를 입력하지 않았다면 페이지를 닫는 것만으로 대부분 괜찮습니다.
  • 로그인 정보를 입력했다면 해당 서비스의 비밀번호를 즉시 바꾸고, 가능하면 2단계 인증을 켜세요.
  • 결제 정보를 입력했다면 카드사에 연락해 정지·재발급을 요청하세요.
  • 의심 사례는 한국인터넷진흥원(KISA) 등 공식 기관에 신고할 수 있습니다.

자주 묻는 질문

QR코드만 스캔해도 해킹되나요?

스캔 자체만으로 기기가 감염되는 경우는 드뭅니다. 위험은 대부분 그 다음 단계, 즉 가짜 사이트에서 정보를 입력하거나 악성 앱을 설치할 때 생깁니다. 그래서 링크를 먼저 확인하고 함부로 입력하지 않는 습관이 핵심입니다.

식당이나 주차장 QR코드는 안전한가요?

공식적으로 부착된 코드는 대체로 안전하지만, 공공장소 코드는 가짜 스티커로 바꿔치기되기 쉽습니다. 스캔 전에 스티커가 덧붙여졌는지 살피고, 연결된 도메인이 그 업체와 맞는지 확인하세요.

QR Toolkit은 큐싱을 막아 주나요?

QR Toolkit은 스캔 후 곧장 열지 않고 연결될 전체 링크를 먼저 보여 줍니다. 최종 판단은 사용자의 몫이지만, 도메인을 미리 확인할 수 있어 가짜 코드를 알아채는 데 큰 도움이 됩니다.

<< cd /ko/blog