큐싱(Qshing)은 QR코드(QR Code) + 피싱(Phishing)의 합성어입니다. 악성 URL이 삽입된 QR코드를 통해 개인정보 탈취, 악성 앱 설치, 계정정보 도용, 금융사기를 유도하는 사이버 공격으로, 최근 국내외에서 급격히 증가하고 있습니다.
큐싱이 급증하는 이유
코로나19 이후 비대면 문화가 확산되면서 QR코드 사용이 일상화됐습니다. 메뉴판, 결제, 출입 인증, 사내 공지, 명함까지 모든 곳에 QR코드가 활용됩니다. 문제는 QR코드는 육안으로 악성 여부를 절대 판별할 수 없다는 점입니다. 정상 QR코드와 악성 QR코드는 생김새가 완전히 동일합니다.
또한 QR코드를 스캔하면 모바일 브라우저로 연결되기 때문에 PC 환경의 보안 솔루션이 작동하지 않는 경우가 많습니다. 기업의 모바일 보안 사각지대를 정확히 파고드는 공격 방식입니다.
큐싱 공격의 주요 시나리오
① 사내 와이파이 신청 QR 사칭
"보안 강화를 위해 와이파이가 개편됩니다. 아래 QR을 스캔하여 신청하세요." 공지문 형태로 배포됩니다. 사번, 계정 ID, 비밀번호 입력을 유도하여 사내 시스템 접근 자격증명을 탈취합니다.
② 출입 인증·보안 QR 사칭
출입증 재발급, 보안 인증 갱신 등을 명목으로 QR코드를 배포하여 개인정보와 계정 정보를 수집합니다.
③ 택배·배송 QR
"배송 주소 확인이 필요합니다." 형태의 문자나 이메일에 포함된 QR코드로 개인정보를 탈취합니다.
④ 이벤트·경품 QR
회사 창립 기념 이벤트, 복지 포인트 적립 등 신뢰감 있는 내용으로 위장하여 QR 스캔을 유도합니다.
⑤ 결제·영수증 QR 위조
식당, 카페, 주차장 등 실물 결제 장소에서 정상 QR코드 위에 악성 QR코드 스티커를 덧붙이는 물리적 공격도 발생하고 있습니다.
큐싱 공격으로 발생하는 피해
- 계정 탈취 — 사내 시스템, 이메일, 그룹웨어 계정 도용
- 개인정보 유출 — 이름, 연락처, 사번, 부서 정보 등 수집
- 악성 앱 설치 — 스파이웨어, 원격제어 앱 설치로 스마트폰 완전 장악
- 금융 피해 — 계좌 정보 탈취, 소액결제 사기
- 2차 공격 거점 확보 — 감염된 스마트폰을 통한 기업 내부망 침투
큐싱 모의훈련이란
큐싱 모의훈련은 악성 URL이 삽입된 훈련용 QR코드를 실제 업무 환경과 동일한 방식으로 배포하여 임직원의 스캔 여부, 페이지 접속 여부, 정보 입력 여부를 단계별로 측정하고, 스캔 즉시 보안 교육으로 연계하는 프로그램입니다.
특히 큐싱 모의훈련은 이메일·MMS 문자·카카오워크·Teams·인쇄물·디지털 사이니지 등 다양한 채널을 통해 실제 공격 상황과 동일하게 훈련이 진행됩니다.
큐싱 모의훈련 프로세스
STEP 1. 훈련 설계 — 조직 업무 환경 분석 및 현실감 높은 큐싱 시나리오 선정
STEP 2. 사전 동의 수집 — 훈련 대상 임직원 개인별 URL 발송, 참여 동의 수집
STEP 3. 악성 QR 배포 — 이메일·문자·메신저·인쇄물 등 합의된 채널을 통해 훈련용 QR 배포
STEP 4. 피싱 랜딩 페이지 — 실제 사내 포털과 구분 불가능한 수준의 모의 피싱 페이지
STEP 5. 즉각 교육 노출 — 스캔 즉시 훈련 상황 고지 및 QR 보안 수칙 안내
STEP 6. 결과 리포트 — QR 스캔율·페이지 접속율·정보 입력율·부서별 분석 보고서 제공
시큐랩 큐싱 모의훈련
시큐랩의 큐싱 모의훈련은 실제 공공기관, 금융기관, 일반 기업 대상 구축 실적을 보유한 검증된 서비스입니다. 사전 동의부터 결과 리포트까지 전 과정을 체계적으로 지원하며, ISMS-P 인증 증빙 자료로도 활용 가능합니다.
QR코드를 스캔하기 전, 한 번 더 생각하는 습관이 기업을 지킵니다. 지금 바로 큐싱 모의훈련 도입을 검토하세요.
