얼마 전 동네 카페에서 있었던 일이다. 테이블 위에 놓인 QR코드를 스캔해서 메뉴를 주문하려고 했는데, 알고 보니 누군가 기존 QR코드 위에 가짜 스티커를 덧붙여놓은 것이었다. 다행히 결제 직전에 URL이 이상하다는 걸 눈치챘지만, 한 발만 늦었어도 개인정보가 유출될 뻔했다. 이런 수법을 큐싱이라고 한다. QR코드와 피싱을 합친 말인데, 생각보다 가까운 곳에서 벌어지고 있다.
큐싱은 어떻게 작동하는가
큐싱의 핵심은 간단하다. 정상적인 QR코드를 가짜로 바꿔치기하거나, 아예 새로운 QR코드를 만들어 사람들이 많이 지나다니는 곳에 부착하는 것이다. 피해자가 QR코드를 스캔하면 피싱 사이트로 연결되고, 거기서 로그인 정보나 카드 번호를 입력하면 그대로 탈취된다. 악성 앱 설치를 유도하는 경우도 있다. QR코드는 육안으로 내용을 확인할 수 없기 때문에 일반 피싱보다 경계심이 낮아지는 것이 문제다.
이런 곳에서 주로 발생한다
공유 자전거나 킥보드의 QR코드 위에 가짜 스티커를 덧붙이는 수법이 가장 흔하다. 주차장 정산기, 카페 테이블 주문용 QR코드, 공공장소에 놓인 이벤트 홍보물도 대상이 된다. 최근에는 우편함에 넣는 택배 안내문이나 과태료 고지서에 가짜 QR코드를 인쇄해서 보내는 사례도 보고되고 있다. 이메일에 QR코드 이미지를 첨부해서 보내는 변형 수법도 등장했다. 특히 기업을 대상으로 한 큐싱 공격도 늘어나는 추세인데, 사내 공지사항이나 회의실 예약 안내에 가짜 QR코드를 삽입하여 임직원의 사내 시스템 로그인 정보를 탈취하는 사례가 보고되고 있다.
실제 피해 사례
2025년 경기도에서는 공유 킥보드 QR코드를 조작한 일당이 검거된 적이 있다. 피해자 수십 명이 가짜 결제 페이지에 카드 정보를 입력했고, 총 피해 금액은 3천만 원이 넘었다. 해외에서는 주차 미터기의 QR코드를 바꿔치기해서 주차 요금을 가로챈 사건이 미국 텍사스에서 대규모로 발생하기도 했다. 국내에서도 가짜 정부지원금 안내문에 QR코드를 넣어 개인정보를 수집한 사례가 경찰에 접수된 바 있다. 2025년 하반기에는 대학가 주변에서 무료 와이파이 연결을 빌미로 QR코드를 배포한 뒤 스마트폰에 악성앱을 설치시킨 조직이 적발되기도 했다.
큐싱과 일반 피싱의 차이점
일반 피싱은 이메일이나 문자 메시지에 포함된 링크를 통해 접근하기 때문에 URL을 미리 확인할 수 있다. 하지만 큐싱은 QR코드라는 물리적 매체를 사용하기 때문에 스캔 전에는 어떤 주소로 연결되는지 알 수 없다는 점이 근본적인 차이다. 또한 QR코드는 공공장소에 설치되어 있으면 공신력이 있다고 느끼게 만드는 심리적 효과가 있다. 카페 테이블 위에 놓인 QR코드를 의심하는 사람은 거의 없다. 이런 심리적 허점을 파고드는 것이 큐싱의 핵심 전략이다. 스미싱은 스팸 필터로 상당 부분 걸러지지만, QR코드는 현재로서는 사전 차단이 불가능하다는 점도 큐싱이 더 위험한 이유다.
예방 수칙 다섯 가지
첫째, QR코드를 스캔한 뒤 연결되는 URL을 반드시 확인한다. 공식 도메인이 아니거나 이상한 문자열이 포함되어 있으면 접속하지 않는다. 둘째, 공공장소의 QR코드는 스티커가 덧붙여져 있지 않은지 물리적으로 확인한다. 기존 QR코드 위에 다른 스티커가 얹혀져 있다면 의심해야 한다. 셋째, QR코드로 연결된 페이지에서 개인정보나 금융정보를 바로 입력하지 않는다. 공식 앱이나 웹사이트를 직접 열어서 처리하는 것이 안전하다. 넷째, 스마트폰의 보안 소프트웨어를 항상 최신 상태로 유지한다. 악성 앱 설치를 자동으로 차단해주는 기능이 있다. 다섯째, 출처가 불분명한 우편물이나 전단지의 QR코드는 아예 스캔하지 않는 것이 가장 확실한 방법이다.
안전한 QR코드 스캔을 위한 앱 활용법
스마트폰 기본 카메라 앱으로 QR코드를 스캔하면 연결 URL이 미리보기로 표시되는 경우가 많다. 아이폰은 기본 카메라로 QR코드를 비추면 상단에 URL 주소가 표시되고, 이를 확인한 뒤에 탭해서 접속할 수 있다. 안드로이드도 대부분의 기종에서 비슷한 기능을 지원한다. 별도의 QR코드 스캔 앱을 사용할 경우에는 URL 안전성 검사 기능이 포함된 앱을 선택하는 것이 좋다. 네이버나 카카오톡 내장 QR스캐너도 악성 URL을 일부 감지하는 기능이 있으므로 활용할 만하다.
피해를 당했다면 이렇게 하자
QR코드를 통해 악성 사이트에 접속했거나 정보를 입력했다면 즉시 해당 카드사에 연락해서 카드를 정지시키고, 비밀번호를 변경한다. 악성 앱이 설치된 것 같다면 스마트폰을 비행기 모드로 전환한 뒤 백신 앱으로 검사하거나 초기화를 검토한다. 금전적 피해가 발생했다면 경찰청 사이버수사국(전화 182)이나 금융감독원(전화 1332)에 신고한다. 증거 보존을 위해 스크린샷과 접속 기록을 남겨두는 것도 잊지 말자.
혹시 이런 것도 궁금하신가요
QR코드를 스캔만 해도 해킹당할 수 있나요? QR코드 자체는 단순히 URL 정보를 담고 있을 뿐이므로, 스캔만으로 해킹이 되지는 않는다. 다만 연결된 사이트에서 악성앱 설치를 유도하거나 정보 입력을 요구하는 단계에서 피해가 발생한다. 스캔 후 즉시 브라우저를 닫았다면 피해 가능성은 낮다.
가게에 설치된 QR코드도 위험한가요? 대부분의 매장 QR코드는 안전하지만, 스티커가 덧붙여진 흔적이 있거나 QR코드 주변이 지저분하게 처리되어 있다면 직원에게 확인 후 사용하는 것이 좋다. 사장님 입장에서도 정기적으로 QR코드 상태를 점검하는 것이 고객 보호를 위해 필요하다.
사업자가 큐싱 피해를 예방하는 방법
카페나 음식점에서 QR코드 주문 시스템을 운영하고 있다면 정기적으로 QR코드 스티커 상태를 점검해야 한다. 원본 QR코드 위에 다른 스티커가 덧붙여져 있지 않은지, QR코드가 연결하는 URL이 정상적으로 작동하는지 최소 주 1회 확인하는 것이 좋다. QR코드를 인쇄물 형태로 테이블에 올려놓는 것보다는 아크릴 홀더에 고정하거나 메뉴판에 직접 인쇄하는 것이 조작 위험을 줄여준다. 또한 결제 페이지에 매장 이름과 사업자 등록번호를 표시하면 고객이 정상 페이지임을 확인할 수 있어 신뢰도가 높아진다. 큐싱 피해가 매장에서 발생하면 사업자에게도 관리 책임이 물을 수 있으므로 사전 예방이 중요하다.
해외 출장이나 여행 시 QR코드 주의사항
해외에서는 큐싱 피해가 한국보다 더 빈번하게 발생한다. 특히 관광지의 무료 와이파이 연결용 QR코드, 공유 자전거 대여용 QR코드, 관광 안내 QR코드는 조작 위험이 높은 곳이다. 낯선 환경에서는 QR코드 대신 공식 앱을 직접 검색해서 설치하는 것이 안전하다. 해외 결제가 포함된 QR코드는 특히 주의가 필요한데, 환율 차이를 이용해 소액으로 위장한 대규모 결제가 이루어질 수 있기 때문이다.
QR코드 보안의 미래 전망
큐싱 범죄가 늘어나면서 QR코드 자체의 보안을 강화하려는 기술적 시도도 활발하다. 디지털 서명이 포함된 인증 QR코드, 일회용 QR코드 생성 기술, 블록체인 기반 QR코드 검증 시스템 등이 연구되고 있다. 일부 결제 플랫폼에서는 이미 30초마다 갱신되는 동적 QR코드를 도입하여 복제 위험을 낮추고 있다. 하지만 기술적 해결책이 보편화되기까지는 시간이 필요하므로, 당분간은 개인의 주의와 습관이 가장 효과적인 방어 수단이다. QR코드의 편리함을 누리되 항상 한 번 더 확인하는 습관을 들이자.
편의성과 보안 사이에서 균형을 잡는 것이 중요하지만, 큐싱처럼 눈에 보이지 않는 위험에 대해서는 항상 경각심을 갖는 것이 최선의 방어다.
이 글도 확인해보세요 — 디지털 생활 보안·절약 가이드 2026 — 스미싱·통신비·AI·클라우드 5단계