QR 코드 사기(퀴싱): 일상에 숨어있는 위협
QR 코드 사기(퀴싱)가 2026년에 급증하고 있습니다. 가짜 QR 코드가 어떻게 돈과 개인 정보를 훔치는지, 사기꾼들이 어디에 설치하는지, 그리고 탭하기 전에 안전하게 스캔하는 방법을 알아보세요.
· Truvizy Research Team · 8 min read
TL;DR
퀴싱은 QR 코드를 이용한 피싱입니다: 사기꾼들은 레스토랑 메뉴, 주차 미터기, 택배 라벨, 공공 포스터의 합법적인 QR 코드를 자격 증명을 훔치는 웹사이트로 리디렉션하는 코드로 교체합니다. 스마트폰 카메라는 열기 전에 작은 URL 미리보기만 보여주기 때문에 대부분의 사람들은 교체를 알아채지 못합니다. 항상 QR 코드 링크를 열기 전에 목적지 URL을 확인하고, 내장 안전 점검 기능이 있는 QR 스캐너를 사용하고, 의심스러울 때는 공식 웹 주소를 직접 입력하세요.
주차장에 도착하여 결제 키오스크의 QR 코드를 스캔하고 주차비를 내기 위해 신용카드 정보를 입력합니다. 거래가 완료된 것처럼 보입니다. 그날 저녁 은행에서 해외 부정 청구 3건이 있다고 전화가 옵니다. 카드를 누구에게도 건네지 않았습니다. 의심스러운 이메일도 클릭하지 않았습니다. QR 코드를 스캔한 것뿐인데, 그것으로 충분했습니다. 대부분의 사람들이 들어본 적 없는 가장 빠르게 성장하는 사기, 퀴싱에 오신 것을 환영합니다.
QR 코드는 편의성을 위해 설계되었습니다, 스캔하고 이동. 하지만 비즈니스에게 매력적인 그 마찰 없는 경험이 사기꾼의 손에 들어가면 위험해집니다. 미리보기하기 위해 마우스를 올릴 수 있는 의심스러운 이메일 링크와 달리, QR 코드는 카메라를 향하기 전까지 아무것도 알려주지 않습니다. 목적지 URL을 볼 때가 되면 많은 피해자들이 이미 '열기'를 탭했습니다. 그 순간적인 차이가 바로 퀴싱이 악용하는 것입니다.
퀴싱이란?
퀴싱, 'QR'과 '피싱'의 합성어, 은 QR 코드 내에 악성 URL을 삽입하여 피해자를 사기 웹사이트로 리디렉션하는 행위입니다. 이 사기는 여러 형태를 취할 수 있습니다: 공공장소에서 가짜 스티커로 합법적인 코드를 물리적으로 교체하기, 기존 스팸 필터를 우회하는 이메일이나 문자로 QR 코드 보내기, 또는 사기성 코드가 두드러지게 표시된 가짜 문서(청구서, 주차 위반 통지서, 택배 통지서) 만들기.
FBI의 인터넷 범죄 신고 센터는 2024년에 퀴싱을 신흥 우선 위협으로 표시했으며, 그 이후로 수치는 더욱 악화되었습니다. 사이버보안 기업들은 2024년과 2025년 사이에 QR 코드 기반 피싱 공격이 587% 증가했다고 기록했습니다. 이 기술은 조직적인 사기 집단 사이에서 인기가 높아졌는데, 실행 비용이 저렴하고 대규모로 탐지하기 어려우며 이미지에 삽입된 URL을 읽을 수 없는 이메일 보안 도구를 특이적으로 우회하도록 설계되었기 때문입니다.
퀴싱은 사기 전술이 모바일 우선 공격으로 전환하는 더 큰 흐름의 일부입니다. AI가 사기 정교함을 가속화하는 방법 분석에서 기록했듯이, 사기꾼들은 스마트폰 시대에 사람들이 채택한 도구와 습관을 구체적으로 표적으로 삼고 있으며, QR 코드는 지난 5년 동안 가장 널리 채택된 모바일 습관 중 하나입니다.
QR 코드 사기의 작동 방식
퀴싱 공격의 메커니즘은 기만적으로 단순합니다. 공격자는 악성 URL을 인코딩한 QR 코드를 생성합니다, 일반적으로 은행 로그인 페이지, 결제 포털 또는 정부 서비스의 복제 버전입니다. 가짜 페이지는 합법적인 것과 동일하게 보이도록 설계되어 피해자가 입력하는 자격 증명이나 결제 정보를 수집합니다.
물리적 공격에서는 사기꾼이 사기성 코드를 스티커에 인쇄하여 주차 미터기, 레스토랑 테이블 텐트 또는 공공 게시판의 합법적인 코드 위에 붙입니다. 교체는 몇 초 만에 이루어집니다. 그런 다음 공격자는 현장을 떠나 도난 데이터를 원격으로 수집할 수 있습니다. 바쁜 주차 미터기에 잘 배치된 스티커 하나가 하루에 수십 명의 피해자를 낼 수 있습니다.

이메일 기반 퀴싱은 다른 방식을 따릅니다. 공격자는 은행, 인사부서 또는 택배 회사를 사칭한 메시지를 보내어 수신자가 계정을 확인하거나 배송을 추적해야 한다고 주장하며 '추가 보안을 위해 휴대폰으로 스캔하세요'라는 QR 코드를 포함합니다. 이 지시는 의도적입니다: 인터랙션을 모바일 기기로 이동시킴으로써 보안 도구가 있는 기업 컴퓨터에서 보호 기능이 적은 개인 휴대폰으로 피해자를 이동시킵니다.
가짜 페이지에 도달하면 피해자는 세련된 자격 증명 수집 양식을 만납니다. 더 고급 공격은 실시간 중계 기술을 사용합니다: 피해자가 사용자 이름과 비밀번호를 입력하면 공격자가 해당 자격 증명을 실제 웹사이트에 동시에 입력하고, 이중 인증 프롬프트를 피해자에게 중계하여 2FA 보호를 완전히 우회합니다.
QR 코드에서 나온 링크가 불확실한가요? 정보를 입력하기 전에 Truvizy에 URL을 붙여넣어 피싱 지표를 확인하세요.
가짜 QR 코드가 나타나는 곳
주차 미터기와 결제 키오스크는 미국에서 가장 많이 표적이 되는 장소 중 하나입니다. 텍사스 교통부는 2024년에 주요 도시의 주차 미터기에서 수십 개의 가짜 QR 코드 스티커를 기록했습니다. 피해자들은 주차비를 내려고 전체 신용카드 정보를 입력했지만 대신 금융 데이터를 사기꾼에게 직접 건네줬습니다. 이 사기는 주차비 결제가 스트레스를 받는 상황이기 때문에 특히 잘 작동합니다, 운전자들은 종종 서두르며 결제 인터페이스를 꼼꼼히 살피지 않습니다.
레스토랑 테이블 텐트와 메뉴는 팬데믹 이후 비접촉 식사가 확산되면서 주요 경로가 되었습니다. 합법적인 코드 위나 옆에 붙인 사기성 QR 코드 스티커는 손님들을 가짜 메뉴나 결제 페이지로 리디렉션할 수 있습니다. 어떤 경우에는 가짜 페이지가 레스토랑이 온라인 주문으로 전환했다고 주장하는 자격 증명 수집 양식으로 리디렉션하기 전에 설득력 있는 메뉴를 표시하기도 합니다.
택배 반품 라벨은 빠르게 성장하는 공격 카테고리를 나타냅니다. 피해자들은 QR 코드가 있는 반품 라벨이 동봉된 소포를 받습니다, 때로는 요청하지 않은 것, 때로는 가짜 경품 캠페인의 일부로. 코드를 스캔하면 반품이 시작되는 것으로 가정되지만 실제로는 '환불 처리'를 위해 신용카드 정보를 요청하는 가짜 소매업체 포털로 연결됩니다.
대중교통과 버스 정류장은 표지판이 모니터링 능력이 제한된 지방 자치 단체에서 관리되기 때문에 상당한 위험을 가지고 있습니다. 교통 지도, 발권 키오스크 또는 요금 결제 화면의 사기성 코드는 제거되기 전에 며칠 동안 발견되지 않을 수 있습니다. 영국에서는 런던 교통국이 2025년에 역에서 수백 개의 사기성 QR 코드를 제거했습니다.
이메일 및 문서 기반 공격은 소비자만큼 기업도 표적으로 삼습니다. '안전한 결제'를 위한 QR 코드가 포함된 가짜 청구서, 직원들에게 급여 정보를 업데이트하기 위해 코드를 스캔하도록 요구하는 사기성 인사 알림, 가짜 택배 배송 알림은 모두 일반적인 기업 공격 벡터입니다. 피싱 이메일 탐지 가이드에서 논의했듯이 이메일 기반 공격은 자동화된 필터링을 회피하기 위해 시각적 요소 사용에 있어 더욱 정교해지고 있습니다.
가짜 자선단체 및 모금 전단지는 관대함을 악용합니다. 자연재해나 주요 뉴스 이벤트 이후, 기부 QR 코드가 있는 사기성 전단지가 지역 게시판, 슈퍼마켓, 소셜 미디어에 나타납니다. 코드는 실제 기부를 전혀 하지 않으면서 기부금과 카드 정보를 수집하는 설득력 있는 가짜 자선 결제 페이지로 연결됩니다.
QR 사기가 이토록 효과적인 이유
퀴싱의 효과는 근본적인 신뢰 불일치에서 비롯됩니다. QR 코드는 편의성과 현대성과 연관되어 있습니다, 공식 자료에 합법적인 비즈니스가 배치합니다. 사람들은 수년간의 사용을 통해 무작위 이메일 링크보다 QR 코드의 물리적 맥락을 더 신뢰하도록 훈련되었습니다. 레스토랑 테이블이나 주차 미터기의 코드는 그 장소 자체의 암묵적인 보증을 가지고 있습니다.
카메라 앱은 최소한의 마찰을 제공합니다. 대부분의 스마트폰은 자동으로 QR 코드를 인식하고 사용자가 읽지 않고 본능적으로 닫는 작은 URL 미리보기를 표시합니다. 미리보기 창은 작고, URL은 종종 길거나 단축되어 있으며, 뇌의 자연스러운 패턴 매칭 경향은 사용자들이 실제 있는 것보다 기대하는 것을 자주 보게 만듭니다. 'secure-payment-parkingzone.com'과 같은 URL은 주의 깊은 사용자에게는 위험 신호를 보내지만 산만한 사용자에게는 'parking'으로 읽힙니다.
주차 미터기에 도착하여 QR 코드를 스캔합니다. 폰 카메라에 미리보기 URL이 표시됩니다: 'parking-pay-secure-city.com/pay'. 미터기는 미국 주요 도시에 있습니다. 어떻게 하시겠습니까?
- 즉시 링크를 열다, 도시 이름이 언급되어 있으므로 합법적일 것이다
- URL을 주의 깊게 확인하다: 내 도시의 공식 주차 결제 도메인과 일치하는가?
- 물리적 카드 슬롯을 사용하거나 인증된 앱 스토어에서 다운로드한 공식 앱을 사용한다
- QR 코드를 스캔하여 결제를 완료하기 전에 미터기 사진을 찍는다
Answer: 'parking-pay-secure-city.com'과 같은 일반적인 도메인은 큰 위험 신호입니다. 도시의 공식 주차 시스템에는 특정하고 잘 알려진 도메인(예: paybyphone.com 또는 도시 공식.gov 사이트)이 있습니다. 결제 정보를 입력하기 전에 항상 목적지 URL이 예상되는 공식 도메인과 일치하는지 확인하세요, 또는 가능하다면 물리적 카드 슬롯을 사용하세요.
모바일 환경은 또한 데스크톱 컴퓨터에 있는 많은 안전 도구를 제거합니다. 기업의 엔드포인트 보호, 피싱 사이트에 플래그를 표시하는 브라우저 확장 프로그램, 클릭하기 전에 링크 위에 마우스를 올려 미리보는 습관이 모바일로 이전되지 않습니다. 휴대폰에서는 사용자가 거의 혼자서 대처해야 합니다.
가짜 QR 코드 식별하는 방법
코드를 물리적으로 검사하세요. 인쇄물 위에 붙여진 스티커를 찾으세요. 가짜 스티커는 종종 약간 다른 종이 질감, 주변 디자인 요소와의 미세한 정렬 불일치, 또는 스티커가 인쇄된 텍스트와 겹치는 부분에 보이는 가장자리가 있습니다. 손톱으로 표면을 긁어보세요, 층이 있는 스티커에는 보통 미세하게 돌출된 가장자리가 있습니다.
탭하기 전에 전체 URL을 읽으세요. 카메라가 코드를 스캔하면 미리보기 알림이나 배너가 나타납니다. 탭하기 전에 멈추고 전체 URL을 읽으세요. 확인할 사항: 도메인에서 예상되는 비즈니스 이름(접미사나 접두사가 아닌), 합법적인 최상위 도메인(.com,.gov,.org,.xyz나.top과 같은 특이한 확장자 아닌), 그리고 브랜드 이름처럼 보이는 것에 'secure', 'login', 'verify' 또는 'payment'와 같은 추가 단어가 붙어있는지 여부.
긴급성에 회의적이 되세요. '즉시 스캔', '기간 한정 제공' 또는 '접근에 필요'와 같은 언어와 함께 있는 코드는 생각하기 전에 행동하도록 설계되었습니다. 합법적인 비즈니스는 일반적으로 QR 결제 코드 주변에 긴급하고 압박적인 언어를 사용하지 않습니다.
공식 채널과 교차 확인하세요. 은행, 인사부서 또는 택배 회사에서 왔다고 주장하는 이메일이나 문서의 QR 코드를 스캔하기 전에, 공식 웹사이트나 앱을 통해 직접 연락하여 해당 조직이 실제로 통신을 보냈는지 확인하세요. QR 코드가 포함된 같은 메시지에 제공된 연락처 정보는 절대 사용하지 마세요. 알 수 없는 소스의 의심스러운 링크와 콘텐츠를 평가할 때, Truvizy의 스캔 도구가 어떤 행동을 하기 전에 위험을 평가하는 데 도움이 됩니다.
가능하면 대안을 사용하세요. 주차 미터기나 키오스크에서 QR 코드가 유일한 결제 옵션인 경우, 물리적 카드 슬롯 사용, 인증된 앱 스토어에서 다운로드한 전용 공식 앱을 통한 결제, 또는 다른 방법을 찾는 것을 고려하세요. 결제나 개인 정보가 관련될 때는 편의성이 보안보다 우선시되어서는 안 됩니다.

사기를 당했을 때 해야 할 일
코드를 스캔하고, 링크를 열고, 정보를 입력했다면, 빠르게 움직이세요. 1분의 지연이 공격자에게 데이터를 사용할 더 많은 시간을 줍니다.
결제 카드 정보를 입력했다면: 즉시 은행 사기 신고 전화에 전화하세요(의심스러운 사이트의 번호가 아닌 카드 뒷면 번호를 사용하세요). 카드 동결 또는 교체를 요청하세요. 정보를 입력한 시점부터의 모든 청구에 플래그를 표시해 달라고 은행에 요청하세요.
로그인 자격 증명을 입력했다면: 별도의 신뢰할 수 있는 기기에서 즉시 비밀번호를 변경하세요. 아직 활성화되지 않은 경우 이중 인증을 활성화하세요. 계정에 로그인된 낯선 기기나 세션을 확인하고 제거하세요. 같은 비밀번호를 다른 곳에서도 사용하고 있다면, 그것들도 변경하세요.
3개의 주요 신용 조사 기관 중 하나(에퀴팩스, 익스피리언, 트랜스유니온)로 신용 파일에 사기 경보를 설정하세요, 이렇게 하면 나머지 두 곳에 자동으로 알림이 갑니다. 신원이 손상되었다고 생각되면 신용 동결을 고려하세요. 이는 무료이며 당신의 이름으로 새 계정이 개설되는 것을 방지합니다. 신원 도용 방지에 관한 종합 가이드는 전체 복구 과정을 자세히 다룹니다.
AI 기반 사기 탐지로 QR 코드 사기 및 기타 모바일 위협으로부터 자신을 보호하세요.
앞으로 자신을 보호하는 방법
가장 중요한 습관은 탭하기 전에 멈추는 것입니다. 퀴싱의 전체 설계는 QR 스캔이 자동적이고 즉각적으로 느껴진다는 사실에 의존합니다. 그 자동적인 반응을 깨는 것, URL을 읽기 위한 단 2초라도, 이 공격을 방해합니다. 규칙으로 만드세요: 먼저 URL 미리보기, 그 다음에 열기.
전용 QR 스캐너 앱을 사용하세요. 디코딩된 URL에 대해 실시간 안전 점검을 수행하고 탭하기 전에 제시해 주는 앱입니다. 주요 보안 벤더들이 무료로 제공하는 이 앱들은 스캔 워크플로에 내장된 URL 검사기처럼 작동합니다. 클릭하기 전에 링크 위에 마우스를 올리는 모바일 버전입니다.
스마트폰의 OS와 브라우저를 최신 상태로 유지하세요. 보안 패치는 악성 사이트를 방문할 때 드라이브바이 다운로드 공격이 악용하는 취약점을 자주 수정합니다. 패치가 적용되지 않은 폰은 자격 증명이 안전하더라도 퀴싱 공격의 두 번째 단계에 훨씬 더 취약합니다.
인증 앱을 사용한 이중 인증을 활성화하세요, SMS가 아닌. 스미싱 및 문자 사기 가이드에서 언급했듯이, SMS 기반 2FA는 차단될 수 있습니다. 인증 앱은 기기에서 로컬로 코드를 생성하여 실시간 중계 공격을 훨씬 더 어렵게 만듭니다.
발견하는 곳마다 의심스러운 코드를 신고하세요. 공공 QR 코드에 의심스러워 보이는 스티커를 발견했다면, 위치를 촬영하고 비즈니스나 지방 당국에 신고하세요. 수 시간 내에 악성 스티커를 제거하면 다른 수십 명의 잠재적 피해자를 보호할 수 있습니다.
Key Takeaways
- 모든 QR 코드 링크를 탭하기 전에 카메라 미리보기에서 전체 목적지 URL을 반드시 읽으세요, 특히 주차 미터기, 레스토랑, 교통 정류장에서.
- 가짜 QR 코드 스티커는 합법적인 코드 위에 나타날 수 있으며 겹치는 가장자리의 물리적 검사 없이는 거의 탐지할 수 없습니다.
- 이메일의 QR 코드는 대부분의 기업 피싱 필터를 우회합니다, 이메일 링크에 적용하는 것과 동일한 회의적 시각으로 취급하세요.
- 의심스러운 사이트에서 결제 또는 로그인 정보를 입력했다면, 즉시 은행에 연락하고 별도 기기에서 영향받은 비밀번호를 변경하세요.
QR 코드는 사라지지 않을 것입니다, 그리고 그것을 악용하는 사기꾼도 사라지지 않을 것입니다. 비접촉 결제, 디지털 메뉴, 모바일 우선 서비스가 일상 생활에 더욱 깊이 자리 잡으면서 퀴싱은 더욱 정교해지고 광범위해질 것입니다. 해독제는 인식입니다: 어떤 물리적 QR 코드도 교체될 수 있고, 이메일의 코드는 어디로든 링크할 수 있으며, 탭하기 전에 URL을 읽는 2초가 매우 값비싼 교훈에서 당신을 구할 수 있는 2초가 될 수 있다는 것을 아세요.
Truvizy의 보호 계획에는 의심스러운 URL과 링크를 분석하는 도구가 포함되어 있습니다, QR 코드에서 디코딩된 URL을 Truvizy에 붙여넣어 열기 전에 AI 기반의 즉각적인 합법성 평가를 받으세요. 사기꾼들이 이미지 안에 악성 링크를 숨기는 위협 환경에서, 실제 목적지를 확인하는 도구를 보유하는 것은 더 이상 선택 사항이 아닙니다, 필수입니다.
스미싱: 은행에서 온 그 문자는 아마 사기입니다 — 퀴싱과 동일한 심리적 방식을 공유하는 문자 기반 피싱.
피싱 이메일 탐지 — 필터를 우회하기 위해 QR 코드를 사용하는 이메일 기반 공격을 식별하는 방법.
소셜 엔지니어링 공격 — 퀴싱과 모든 현대 사기 이면의 심리적 조작 기술.
FAQ
퀴싱이란 무엇인가요?
퀴싱은 QR 코드를 이용한 피싱 사기입니다, 공격자가 피해자를 로그인 자격 증명, 결제 정보를 훔치거나 기기에 악성 소프트웨어를 설치하도록 설계된 악성 웹사이트로 리디렉션하는 가짜 QR 코드를 교체하거나 생성하는 사기입니다.
스캔하기 전에 QR 코드가 가짜인지 어떻게 알 수 있나요?
코드를 물리적으로 검사하세요: 원본 코드 위에 붙인 스티커, 주변 소재의 손상, 또는 근처 코드와 비교해 약간 다르게 보이는 코드가 있는지 확인하세요. 스캔 후에는 '열기'를 탭하기 전에 카메라 앱 미리보기에서 전체 목적지 URL을 항상 확인하세요. URL이 예상되는 비즈니스 도메인과 정확히 일치하지 않으면 진행하지 마세요.
QR 코드를 스캔하면 스마트폰에 악성 소프트웨어가 설치될 수 있나요?
카메라로 QR 코드를 스캔하는 것 자체로는 악성 소프트웨어가 설치되지 않습니다, 하지만 결과 링크를 열면 설치될 수 있습니다. 악성 사이트는 드라이브바이 다운로드, 자격 증명 피싱, 또는 가짜 앱 설치를 유도할 수 있습니다. 스마트폰 OS를 최신 상태로 유지하고, 알 수 없는 소스에서의 앱 설치를 피하고, 내장 URL 안전 점검 기능이 있는 QR 스캐너를 사용하세요.
가짜 QR 코드가 가장 많이 발견되는 곳은 어디인가요?
고위험 장소에는 주차 미터기, 레스토랑 테이블과 메뉴, 대중교통 정류장, 택배 반품 라벨, 호텔 로비, 공공장소에 게시된 전단지 등이 있습니다. 누군가 밤새 발견되지 않고 코드를 교체할 수 있는 감시되지 않는 물리적 공간은 모두 잠재적인 표적입니다.
의심스러운 사이트를 스캔하여 정보를 입력한 경우 어떻게 해야 하나요?
즉시 행동하세요: 입력한 비밀번호를 변경하고, 결제 정보를 제공했다면 은행에 연락하고, 영향받은 계정의 이중 인증을 활성화하고, 신용 정보를 모니터링하세요. reportfraud.ftc.gov에서 FTC에 사고를 신고하고, 비즈니스 부지에 있었다면 침해된 코드를 교체할 수 있도록 비즈니스에 알리세요.