문자 이어 QR코드 악용… ‘큐싱’ 주의보

경품 등 미끼로 앱 설치 유도

사용자 모르게 소액결제

#.박모씨는 최근 은행 스마트뱅킹으로 자금이체를 하던 중 추가인증이 필요하다며 QR코드가 나타난 메시지에 따라 앱을 설치한 후 보안카드를 비추자 게임머니 등으로 35만원이 소액결제 처리되는 신종 금융사기 피해를 당했다.

#.김모씨는 지난 5월 ‘OOO치킨 행사 만원 할인쿠폰 제공’ 문자를 받고 해당 웹사이트를 클릭해 앱을 설치했지만, 실행되지 않아 별다른 의심없이 웹사이트를 종료했다. 이후 요금청구서에 게임머니 구매용도로 20만원이 결제된 사실을 알고 금융감독원에 신고했다.

휴대전화 단문메시지(SMS)를 통해 개인정보를 탈취, 금전피해를 끼치는 스마트폰 전자금융사기인 ‘스미싱(Smishing)’과 함께 스마트폰으로 QR코드를 스캔하면 자신도 모르게 소액결제가 되는 신종 금융사기 수법인 ‘큐싱(Qshing)’이 극성을 부리면서 금융감독 당국이 소비자주의보를 발령했다.

금융감독원은 1일 스마트폰 사용자를 대상으로 스미싱 및 큐싱을 통한 소액결제 피해사례가 늘고 있다며 각별한 주의를 당부했다.

스미싱과 피싱은 스마트폰 대중화에 따른 사용자의 관심사항 등을 미끼로 ‘OO서비스를 받으려면 애플리케이션(앱)을 다운받아야 한다’는 내용으로 불특정 다수에게 악성코드 실행경로를 포함한 문자를 발송하거나, QR코드를 통해 악성앱을 다운받도록 한 후 자신도 모르게 소액결제를 해가는 한단계 진화된 금융사기 수법이다.

주요 유도문자로는 무료 할인쿠폰 제공을 비롯 경찰 출석요구서 및 교통범칙금 조회, 청첩장·돌잔치 초대, 건강보험공단 무료 진단 등 유형이 다양하고 교묘하게 진화되며, 30만원 안팎의 소액결제 피해를 주고 있다.

금감원은 무료·할인쿠폰 제공, 보안강화, 대출알선 등의 내용으로 문자 또는 전화를 통해 특정사이트 접속 및 앱 설치를 유도하는 경우 스미싱 등의 금융사기를 의심하는 한편, 금융회사나 공공기관 등을 사칭하는 경우에도 반드시 철저한 확인이 필요하며 문자메세지에 전달된 주소 등을 연결할 경우도 피해 위험성이 있다고 설명했다. 또 스마트폰의 보안기능 설정을 통해 출처가 불분명한 앱은 설치되지 않도록 사전에 조치할 것 등도 당부했다.

이와 함께 소액결제 피해발생시에는 경찰에 피해내역을 지참해 ‘사건사고 사실확인원’을 발급받아 통신사 고객센터에 금융사기 피해접수 및 사건사고 사실확인원을 제출하고, 소액결제를 이용하지 않는 경우에는 통신사 콜센터를 통해 소액결제 기능을 차단토록 요청해야 한다고 덧붙였다.

금감원은 소액결제 희망자에게만 한도가 부여되도록 고객이 확실히 알 수 있는 별도 동의절차를 마련하는 등 정부부처와 제도개선을 협의중이며, 스마트폰 보안점검 앱인 ‘폰키퍼(phone keeper)’ 등을 활용한 악성코드 감염 방지책 홍보에 노력하고 있다.

강선일기자 ksi@idaegu.co.kr

강선일 다른기사 보기