피싱(phishing)은 음성전화, 문자, 웹사이트등에서 공공기관, 은행 등을 사칭해 사용자로 하여 실제 기관등으로 오인하도록 하여 사용자의 금융정보, 개인정보등을 탈취 하거나, 입금을 하도록 하여 피해를 발생시키는 수법을 통칭한다고 보면됩니다.
개인정보를 (Private Data)를 낚시(Fishing)질 하는듯 빼간다는의미의 합성어 입니다.
사기 형태에 따라 음성전화를 통해 이뤄지는걸 보이스 피싱, SMS 를 통해서 URL등을 전송 사기 사이트로 접속을 유도하거나 특정 악성코드를 다운로드 하도록 하는것을 스미싱(SMS + Phishing) , 금융기관 홈페이지 도메인에 매핑되는 IP 주소를 변조하여 가짜 사이트로 접속하도록 하는 파밍( Pharming ) 으로 나뉘는 것입니다.
큐싱(Qshing) 또는 큐리싱(QRishing) 이란?
큐싱은 앞서 설명드린 피싱 공격을 QR 코드를 이용해 악성 코드앱을 다운로드를 유도하기 위해 악의적 URL를 연결하도록 하는 것입니다.
큐싱은 보통 악성 앱을 다운로드 받을 URL 정보를 QR 코드 형태로 만들어서 사용자가 스마트폰을 QR코드를 읽게하여 특정 URL로 접속을 유도한뒤 앱을 다운받아 설치하도록 하는 방식을 이용합니다. QR 코드를 사용한다는 점만 다를뿐 이후 동작 형태는 스미싱(SMS이용)과 동일합니다.
다음 그림 한국인터넷진흥원에서 소개한 큐싱 흐름도를 참고하세요.
위 그림을 보면 큐싱공격의 대략 흐림을 알수 있습니다. 취약사이트에 접속해서 PC에 1차 감염이 되어 PC에 파밍조작으로 인해 특정 악성 IP로 접속이 유도 됩니다 그리고 이때 아래 그림처럼 마치 금융감독원 공지사항같은 가짜 팝업이 뜹니다.
그리고 이렇게 가짜 팝업을 클릭하게 되면 아래그림처럼 2차 인증이 필요하다면서 QR 코드를 띄웁니다.
모든 화면이 너무 그럴싸 하기 때문에 속기 쉽습니다. 이렇게 나타난 팝업화면의 QR코드를 스마트폰에서 읽고 접속을 하게 되면 악성코드앱을 다운받는 경로로 연결되도록 하는 것이죠.
QR코드로 인한 악성코드 다운로드 유도는 어디서든 가능합니다. PC를 인터넷 웹브라우저를 통해 접속(할인쿠폰 , 본인인증 등)을 유도 할 수 도 있고, 길거리 전단지위에 큐알코드가 들어있을 수 있고, 큐알코드가 사용자에게 노출될 수 있는 형태라면 어떤 것이든 가능하기 때문에 사용자입장에서는 출처가 확실치 않다면 QR 코드 읽기를 안하는게 좋습니다.
큐싱, 스미싱을 차단 하려면?
일단 스마트폰에서 구글 플레이같은 공인된 앱마켓이 아닌 다른곳에서 .apk 를 내려 받지 않도록 합니다. 그리고 혹 잘못알고 내려받더라도 실행하지 않도록 합니다. 실수로 실행까지 했다면 미련없이 공장초기화를 하는게 상책입니다.
추가로 몇가지 스미싱/큐싱을 공격을 막기 위한 사항을 정리해봅니다.
'알 수 없는 소스 설치' 차단
설정 보안에서 알수 없는 소스 설치는 차단으로 해야 합니다.
접속 URL을 체크 하는 모바일 백신 설치
- 모바일 알약 ,모바일 어베스트(Avast Mobile) 등
가장 중요한건 PC, 스마트폰으로 인터넷 접속시에는 지금 내가 무엇을 하고 있는지를 정확히 인지를 해야한다는 점입니다. 내가 의도하지 않은 앱의 다운로드와 웹사이트 연결은 분명히 거부해야 합니다.