미국 연방수사국(FBI)은 북한 정찰총국과 연계된 해킹 조직 ‘김수키(Kimsuky)’가 악성 QR 코드를 이용한 해킹 수법인 이른바 ‘퀴싱(Quishing)’ 공격을 사용하고 있다며 주의를 당부했다.

FBI는 8일(현지 시각) 이 같은 내용의 사이버 정보 속보 안내문을 공개하고, 김수키 소속 해커들이 최근 미국 내 비정부기구(NGO), 싱크탱크, 학술기관 등 대북 외교·안보 정책 관련 기관과 전문가들을 상대로 정보 탈취를 시도한 정황이 포착됐다고 밝혔다.

안내문에 따르면 김수키는 설문조사 참여 요청이나 행사 참석 신청 페이지 등으로 위장한 QR 코드를 배포해 사용자가 이를 스캔하도록 유도한 뒤, 해당 QR 코드가 연결하는 악성 웹사이트를 통해 로그인 정보나 개인정보를 입력하게 하는 방식으로 공격을 수행했다. FBI는 이 과정에서 비밀번호, 개인정보, 생체정보 등 민감한 정보 탈취 시도가 여러 건 보고됐다고 설명했다.

‘퀴싱’은 QR 코드(QR code)와 피싱(Phishing)의 합성어로, QR 코드 안에 악성 URL을 삽입해 사용자를 피싱 사이트로 유도하는 사이버 공격 수법이다. 기존 이메일이나 문자메시지 기반 피싱과 달리, 사용자가 QR 코드를 스캔하는 행위를 통해 공격이 이뤄진다는 점이 특징이다.

FBI는 확인되지 않은 QR 코드를 무분별하게 스캔하는 행위가 보안상 큰 위험이 될 수 있다고 경고했다. 이에 따라 기업과 기관이 임직원들에게 의심스러운 QR 코드에 대한 보안 인식을 교육하고, QR 코드가 연결하는 URL을 분석할 수 있는 모바일 보안 도구를 도입할 것을 권고했다.

또한 피싱 방지용 다중 인증(MFA) 사용, 사용자 접근 권한 점검, QR 코드 스캔 이후 발생하는 활동 기록에 대한 모니터링 강화 등도 함께 권장했다. FBI는 이러한 조치들이 유사한 공격으로 인한 피해를 줄이는 데 도움이 될 수 있다고 밝혔다.

FBI는 김수키가 지속적으로 공격 기법을 변화시키고 있다며, 기관과 개인 모두 사이버 보안에 각별한 주의를 기울일 필요가 있다고 강조했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지