“소액결제 금융사기 진화…QR코드 인식 통한 ‘큐싱’ 사기 기승”

#. A씨는 B은행 스마트뱅킹으로 자금이체를 진행하던 중 추가인증이 필요하다며 QR코드가 나타나 메시지에 따라 앱을 설치하고 보안카드를 비추는 순간 금융사기로 인식돼 동작을 멈췄다. 하지만 통신사에 확인해 보니 이미 게임 머니 등으로 35만원이 소액결제 처리됐다.

27일 금융감독원에 따르면 최근 한 단계 진화된 금융사기 수법으로 큐싱(Qshing)사기 피해자가 나타남에 따라 스마트폰 대중화에 따른 각별한 주의가 요망된다.

큐싱이란 QR코드와 개인정보나 금융정보를 낚는다(Fishing)는 의미의 합성어로, 피해사례는 QR코드의 악성앱에 따라 카메라가 작동된 것으로 추정된다.

금융사기범은 스마트폰을 악성코드에 감염시켜 사용자가 정상 금융사이트에 접속하더라도 가짜 금융사이트(피싱사이트)로 연결되게 하고, 가짜 금융사이트에서 추가인증이 필요한 것처럼 QR코드를 보여주고 이를 통해 악성 앱이 설치되도록 유도한다.

악성 앱을 통해 보안카드, 전화번호, 문자메시지 등의 정보를 탈취하고 문자 수신방해, 착신전환 서비스 설정 등 모바일 환경을 조작해 소액결제, 자금이체 등 금전적 이득을 위한 금융사기 피해를 유발한다.

금감원에 따르면 소액결제의 경우 사전조치를 통해 피해를 예방하는 게 무엇보다 중요하다. 평소 소액결제를 이용하지 않는다면 통신사 콜센터를 통해 소액결제 기능을 차단해주도록 요청하는 게 좋다. 이와 함께 한국인터넷진흥원(KISA)에서 배포하는 스마트폰 보안점검 앱 ‘폰키퍼(phone keeper)’ 등을 활용해 악성코드 감염을 방지해야 한다.

(자료=금융감독원)

소액결제가 발생했다면 피해자는 먼저 경찰서에 피해내역을 지참해 ‘사건사고 사실확인원’을 발급받고, 이를 통신사 고객센터에 제출해야 한다. 통신사는 해당 이를 접수받아 결제대행사 및 콘텐츠사업자와 스미싱 피해여부를 확인하고, 결제금 환불 또는 부과 여부를 결정해 그 결과를 통지하게 된다.

금감원 측은 “QR코드는 악용될 경우 정상 URL을 중간에서 가로채 악성링크로 접속을 유도하거나 직접 악성코드를 심는 통로로 활용될 가능성이 많다”며 “스마트폰 보안점검 앱인 폰키퍼 등을 활용해 악성코드 감염을 방지해야 한다”고 밝혔다.