QR코드 추가인증 요구땐 의심을

전자금융 사기 피해를 막기 위한 정책인 ‘100만 원 이상 이체 시 의무 복수 인증’을 역으로 이용해 개인용 컴퓨터(PC)와 스마트폰을 한꺼번에 노리는 악성코드가 발견됐다.

한국인터넷진흥원(KISA)은 PC용 인터넷 뱅킹을 노리는 ‘파밍(Pharming)’과 스마트폰 정보를 탈취하는 ‘큐싱(Qshing)’을 결합한 새로운 악성코드가 발견됐다고 15일 밝혔다. 파밍은 정상 홈페이지 대신 가짜 사이트로 유도해 금융정보를 빼가는 수법이다. 큐싱은 QR코드를 통해 악성코드가 설치되는 링크로 스마트폰 접속을 유도하는 것을 말한다.

새로 발견된 악성코드는 우선 PC를 감염시킨다. 감염 PC에서는 바른 주소를 넣어도 가짜 금융사이트로 접속된다. 이후 보안을 위한 수단이라며 스마트폰용 QR코드로 추가 인증을 요구한다. 이 QR코드에 접속하면 스마트폰도 악성코드에 감염된다. 해커는 이후 스마트폰에서 정보를 빼내는 등 조작도 할 수 있다.

황태호 기자 taeho@donga.com