이메일보다 교묘하다! QR 코드로 침투하는 신종 피싱 ‘퀴싱’

by 이스트시큐리티 마케팅팀

 

 

안녕하세요, 이스트시큐리티입니다.

 

최근 미국 FBI가 북한의 국가 배후 해킹 조직 김수키(Kimsuky)가 악성 QR 코드를 활용한 새로운 형태의 스피어피싱, 이른바 ‘퀴싱(Quishing)’ 공격을 전개하고 있다며 긴급 경고를 발표했습니다. QR 코드라는 일상적인 도구가, 이제는 국가 배후 APT 공격의 핵심 침투 수단으로 활용되고 있다는 점에서 기업과 기관 모두 각별한 주의가 필요합니다.

 

 

 

 

 

QR 코드로 시작되는 정교한 침투 시나리오

 

이번에 확인된 퀴싱 공격의 가장 큰 특징은 공격의 출발점이 ‘개인 모바일 기기’라는 점입니다. 김수키 조직은 기업 보안 정책이 적용된 업무용 PC가 아닌, 상대적으로 보안 통제가 느슨한 개인 스마트폰을 노렸습니다.

 

이들은 싱크탱크, 학술기관, 정부기관 관계자를 정밀 타깃으로 삼아 설문조사 요청, 가짜 컨퍼런스 초청, 보안 드라이브 접근 안내 등 그럴듯한 명분을 내세운 이메일을 발송했고, 이메일에는 자연스럽게 QR 코드가 삽입돼 있었습니다.

 

문제는 이 이메일이 단순한 피싱 메일이 아니라는 점입니다. 공격자들은 DMARC 정책 설정 오류를 악용해, 실제 신뢰 가능한 기관에서 발송된 것처럼 보이도록 이메일을 위장했습니다. 사용자가 아무 의심 없이 QR 코드를 스캔하는 순간, 공격자는 이미 다음 단계로 넘어가게 됩니다.

 

 

 

모바일에서 시작해 계정 탈취까지, MFA도 우회된다

 

QR 코드를 스캔하면 사용자는 공격자가 통제하는 피싱 사이트로 이동하게 되며, 이 과정에서 구글 계정 등 업무와 연동된 자격 증명이 탈취됩니다. 최근에는 국내 서울 소재 물류 회사를 사칭해 '닥스왑(DocSwap)’으로 불리는 새로운 안드로이드 악성코드를 유포한 정황도 포착됐습니다.

 

이 악성 앱은 단말 정보, 문자 메시지, 사진 등 민감한 정보를 탈취할 수 있으며, 더 큰 문제는 세션 토큰 탈취를 통해 다요소인증(MFA)까지 우회할 수 있다는 점입니다.

 

탈취된 계정은 여기서 끝나지 않습니다. 공격자는 해당 계정을 발판 삼아 조직 내부를 대상으로 한 2차 스피어피싱을 확산시키고, 결과적으로 피해 범위를 기하급수적으로 확대합니다. 이 모든 과정이 기업의 EDR이나 네트워크 보안 관제 범위 밖인 개인 모바일 기기에서 시작된다는 점이, 방어자 입장에서는 치명적인 허점으로 작용합니다.

 

 

 

 

‘편의성’이 만든 새로운 보안 사각지대

 

FBI는 이번 사례를 두고, 퀴싱이 이제 기업 환경에서 MFA를 무력화할 수 있는 고신뢰 침투 벡터로 자리 잡았다고 분석했습니다. 기술적 취약점보다 인간의 심리, 그리고 모바일 보안에 대한 방심을 정교하게 파고든 공격이라는 평가입니다.

 

QR 코드는 더 이상 단순한 편의 도구가 아닙니다. 클릭 한 번, 스캔 한 번이 곧 조직 전체 계정과 클라우드 자산을 넘겨주는 출발점이 될 수 있습니다.

 

 

 

 

기업과 사용자가 반드시 점검해야 할 대응 포인트

 

이번 공격이 시사하는 바는 분명합니다. 보안의 경계는 이미 PC를 넘어 모바일로 확장됐습니다.

 

☑︎ 출처가 불분명한 이메일·메시지에 포함된 QR 코드는 절대 스캔하지 않기
☑︎ QR 코드로 유도되는 앱 설치, 로그인 요청에 대한 경각심 강화
☑︎ 조직 차원의 모바일 기기 관리(MDM) 정책 강화
☑︎ 임직원 대상 퀴싱·큐싱 등 최신 피싱 기법 교육 정례화
☑︎ 모바일까지 포함한 전사적 가시성과 실시간 위협 모니터링 체계 재정비

 

 

 

북한 김수키 조직의 공세는 2026년에도 더욱 지능화된 형태로 이어질 가능성이 높습니다. 결국 이번 사건은, 우리가 무심코 사용하는 QR 코드 하나가 국가 배후 해커에게는 강력한 사이버 무기로 변모할 수 있음을 명확히 보여주고 있습니다. 보안의 사각지대를 방치한다면, 기업의 핵심 데이터 주권 역시 언제든 위협받을 수 있습니다.

 

QR 코드 하나로 시작된 이번 퀴싱 공격 사례는, 보안 위협이 더 이상 특정 시스템이나 기술 영역에 국한되지 않는다는 사실을 다시 한 번 상기시킵니다. 특히 개인 모바일 기기를 기점으로 다요소인증(MFA)까지 우회하는 공격이 현실화된 지금, ‘조심하면 된다’는 인식만으로는 더 이상 충분하지 않습니다.

 

출처가 불분명한 QR 코드 스캔을 경계하는 개인 차원의 주의는 물론, 조직 차원에서도 모바일 기기까지 포함한 보안 정책 점검과 임직원 보안 인식 제고가 반드시 병행돼야 할 시점입니다. 일상의 편의성을 노린 공격일수록 피해는 더 치명적일 수 있다는 점을 인지하고, 작은 행동 하나에도 각별한 보안 주의가 요구됩니다.