이메일 라인 QR코드 스캠 주의보: 무심코 스캔했다면 당장 '이 버튼'부터 누르세요

byScrooge 2 min read
0

최근가장 많이 접수되는 긴급 SOS 사고가 있습니다. 바로 '이메일 라인 QR코드 스캠'으로 인한 계정 탈취 사건입니다.

며칠 전 제 거래처 임원분께서도 'LINE 계정 비정상 로그인 안내 - QR 코드로 본인 인증을 완료하세요'라는 교묘한 영문 이메일을 받으셨습니다. 평소 보안에 철저하신 분이었지만, 스마트폰으로 무심코 해당 QR코드를 스캔했다가 불과 5분 만에 지인 수십 명에게 금전을 요구하는 사기 메시지가 발송되는 끔찍한 사고를 겪으셨습니다.

과거의 어설픈 링크 클릭 유도 방식은 이제 통하지 않습니다. 해커들은 이메일 보안 필터가 '이미지'를 제대로 검사하지 못한다는 맹점을 노려, QR코드라는 새로운 무기를 들고나왔습니다. 이른바 큐싱(Quishing)이라 불리는 이 악랄한 수법이 도대체 어떻게 우리의 계정을 탈취하는지, 그리고 만약 이미 스캔해버렸다면 피해를 막기 위해 지금 당장 눌러야 할 긴급 차단 버튼이 무엇인지 명확하게 알려드립니다.

이메일 라인 QR코드 스캠


라인 QR코드 스캠(큐싱), 도대체 어떻게 당하는 걸까? 🕵️‍♂️

1. 가짜 사이트가 아니다? '실제 QR 로그인 기능'의 악용

이 스캠의 가장 소름 돋는 부분은 해커가 조잡한 가짜 피싱 사이트를 만들 필요조차 없다는 점입니다. 범인들은 라인 메신저가 공식적으로 제공하는 'PC 버전 QR 로그인 기능'을 철저하게 악용합니다.

  • 해커가 자신의 PC에서 라인 PC 버전을 켜고 'QR코드 로그인' 화면을 띄웁니다.

  • 진짜 QR코드를 캡처하여 '보안 인증', '계정 정지 예방' 등의 그럴싸한 제목으로 여러분의 이메일에 발송합니다.

  • 여러분이 스마트폰의 라인 앱을 열고 그 QR을 스캔하는 순간, 해커의 PC가 여러분의 계정으로 로그인되도록 '허락'해 버리는 꼴이 됩니다.

스캔 직후 화면에 "XX 기기에서 로그인하시겠습니까?"라는 경고가 뜨지만, 대부분의 사용자는 이메일의 지시사항인 줄 착각하고 무의식적으로 '확인'을 누르게 됩니다. 이 순간 계정의 제어권은 완전히 넘어갑니다.

💡 전문가의 조언: 이런 큐싱 수법과 더불어 최근에는 AI 딥페이크를 활용한 지인 사칭 사기도 기승을 부리고 있습니다. 신종 사기에 대한 추가적인 예방책이 필요하시다면 아래 글을 반드시 확인해 보시기 바랍니다.

눈앞의 부모님 얼굴도 가짜! 내 통장 잔고 지키는 신종 사기 3대 예방 수칙

2. 보안 백신을 비웃는 '이미지' 우회 기술

왜 이런 사기 메일이 스팸함으로 가지 않고 내 받은편지함에 당당히 꽂혀 있을까요? 구글이나 네이버의 강력한 이메일 스팸 필터는 본문에 적힌 '텍스트(URL)'나 '실행 파일(.exe)'을 딥러닝으로 분석하여 악성 여부를 판단합니다.

하지만 QR코드는 단순한 '이미지 파일(.png, .jpg)'에 불과합니다. 보안 시스템은 이 네모난 그림 안에 해커의 로그인 코드가 숨어있는지 실시간으로 해독하기 어렵습니다. 보안 시스템의 빈틈을 파고든 매우 정교한 사회공학적 해킹 기법인 것입니다.

무심코 스캔했다면? 골든타임 5분 긴급 대처법 🚨

1. 라인 앱 접속 후 '다른 기기 연동' 즉시 해제

만약 출처가 불분명한 라인 QR코드를 스캔하셨다면 지체할 시간이 없습니다. 해커가 내 지인들에게 피싱 메시지를 보내기 전에, 해커의 기기를 내 계정에서 강제로 쫓아내야 합니다.

[긴급 강제 로그아웃 절차]
1. 스마트폰에서 라인(LINE) 앱을 실행합니다.
2. 메인 홈 화면 우측 상단의 '톱니바퀴(설정)' 아이콘을 누릅니다.
3. [계정] 메뉴로 들어가 [로그인 중인 기기]를 선택합니다.
4. 내가 현재 사용 중인 스마트폰 외에 알 수 없는 PC나 아이패드 등이 목록에 있다면, 즉시 옆에 있는 [로그아웃] 버튼을 눌러 연결을 끊어버립니다.

이 조치만 빠르게 취해도 해커는 더 이상 내 계정을 조종할 수 없으며, 최악의 금전 사고를 막아내는 1차 방어선이 됩니다.

2. 타 기기 로그인 허용 옵션 차단 및 2차 도용 확인

해커를 쫓아냈다면 앞서 들어갔던 [설정] - [계정] 메뉴에서 '로그인 허용' 옵션을 찾아 반드시 비활성화(Off) 해두셔야 합니다. 또한, 만에 하나 내 정보가 털려 다른 곳에 도용되었을까 걱정되신다면 아래 방법을 통해 즉각적인 조회를 해보시는 것을 추천합니다.

내 번호로 만든 '가짜 계정' 찾기? 피싱범 잡는 도용 확인법 3가지

완벽한 보안은 '의심'에서 시작됩니다 🛡️

출처가 불분명한 QR은 절대 스캔하지 마세요

정상적인 기업이나 메신저 고객센터는 절대 이메일을 통해 보안 인증용 QR코드를 보내지 않습니다.

  • '계정 정지 예정', '비밀번호 유출' 등 불안감을 조성하는 제목
  • 사내 대표가 보낸 라인 QR코드를 보내달라는 내용
  • 텍스트 설명 없이 덩그러니 QR코드 이미지만 첨부된 메일

    • '계정 정지 예정' 등 불안감을 조성하는 제목에 텍스트 없이 QR코드 이미지만 첨부되어 있다면 100% 사기입니다. 스마트폰 카메라를 들이대는 행위 자체가 내 개인정보의 집 현관문을 활짝 열어주는 것과 같다는 사실을 반드시 명심하시기 바랍니다.

    댓글 쓰기

    다음 이전