끝없는 금융사기 수법…이번엔 ‘큐싱’

추가인증 필요하다며 QR코드 보내
앱 설치뒤 보안카드 정보 빼내
악성코드 감염된 스마트폰 대상
“폰키퍼 등 활용 악성코드 방지를”

지난 3월 ㄱ씨는 스마트폰으로 은행 스마트뱅킹 서비스를 이용하던 중, 자금이체를 진행하려면 추가인증이 필요하다는 큐아르(QR)코드가 포함된 메시지를 받았다. ㄱ씨는 메시지에 따라 애플리케이션(앱)을 설치한 뒤 자신의 보안카드를 스마트폰에 비췄다. 순간 금융사기가 의심돼 동작을 멈췄지만 이미 게임머니로 35만원이 소액결제된 뒤였다.

스마트폰을 이용한 금융사기 수법이 나날이 진화하고 있다. 종전까지는 보안카드 번호를 일일이 입력하도록 해 금융정보를 빼냈지만, 올들어 큐아르코드와 앱 설치를 유도해 보안카드 정보를 사진 형태로 더 간편하게 빼내는 수법이 늘자 27일 금융감독원은 ‘큐싱’ 주의 경보를 발령했다.

‘큐싱’ 사기는 이미 악성코드에 감염된 스마트폰에서 발생한다. 파일공유사이트 등에서 악성코드에 감염된 이용자의 스마트폰은 정상 금융 사이트에 접속하려 해도 가짜 금융사이트(피싱사이트)로 연결이 된다. 가짜 금융 사이트에서 추가인증이 필요한 것처럼 큐아르코드를 보여주고 악성 앱 설치를 유도한 뒤, 보안카드·전화번호·문자메시지 등의 정보를 빼내는 것이 전형적 수법이다. 이를 통해 문자 수신방해, 착신전환 서비스 설정 등을 조작해 소액결제·자금이체를 유발한다.

청첩장이나 돌잔치 초대, 교통범칙금 조회 등을 미끼로 문자 메시지에 첨부된 누리집 주소에 접속하게 한 뒤, 스마트폰에 악성코드를 심는 스미싱으로 인한 소액결제 피해도 여전하다. 김상록 금감원 서민금융지원국 팀장은 “이미 스마트폰이 악성코드에 감염된 상태여서 해커가 보안카드·각종 개인정보뿐 아니라 공인인증서까지 접근할 수도 있다. 인증절차라고 속이며 보이스피싱과 결합해 더 큰 피해를 유발할 수 있으니 유의해야 한다”고 말했다.

금감원은 스마트폰 보안점검 앱인 ‘폰키퍼’ 등을 활용해 악성코드 감염을 방지하고, 스마트폰 보안 설정을 통해 알 수 없는 출처의 앱은 다운받지 않도록 당부했다. 또 소액결제를 이용하지 않는 경우에는 기능을 차단해 피해를 원천적으로 막아야한다. 스마트뱅킹 때 보안카드나 계좌번호 입력 등 통상적이지 않은 요구가 나올 때는 행위를 중단하고 악성코드 치료를 위해 휴대폰 서비스센터에 방문할 것을 권고했다.

김효진 기자 july@hani.co.kr