제미나이로 생성한 이미지큐아르(QR)코드를 악용해 암호, 개인정보 등 민감한 정보를 탈취하는 이른바 ‘큐싱’ 공격 시도가 늘자 한미 정부가 연이어 주의보를 발령했다. 특히 미국 연방수사국(FBI)은 북한 배후 해킹 세력이 QR코드를 통한 해킹 수법을 사용하고 있다고 경고했다. 국가 차원의 사이버 공격 세력이 새로운 해킹 수법으로 활개치고 있다는 것이다. 사이버 공격이 인공지능(AI)까지 탑재하고 갈수록 다양화·고도화하는 가운데 한국도 중장기 보안 대책인 ‘국가 사이버 안보전략’을 시급히 마련해야 한다는 목소리가 나온다.
12일 보안 업계에 따르면 한국인터넷진흥원은 10일 정부기관 등을 사칭해 QR코드 촬영을 유도한 뒤 인증정보를 탈취하거나 악성 앱을 설치하려는 ‘큐싱’ 공격 시도 정황이 포착됐다며 주의를 권고했다.
미국 FBI도 8일(현지시간) 북한 정찰총국과 연계된 해킹그룹 ‘김수키’(Kimsuky)가 QR 코드를 통한 새로운 해킹 수법을 사용하고 있다며 주의를 당부했다. FBI에 따르면 최근 김수키 그룹 해커들이 큐싱 수법으로 미국 내 비정부기구(NGO), 싱크탱크, 학계 등의 외교정책 전문가 수법으로 정보를 탈취하려는 시도가 포착됐다.
큐싱은 인간의 심리를 활용해 보안 경계를 파고드는 사회공학적 해킹 수법으로 부상하고 있다. QR 코드에 대해 별다른 의심 없이 신뢰하는 이용자의 심리를 악용하는 동시에 사칭을 통해 정상적인 업무 절차로 오인하도록 해 보안 경계심을 무력화할 수 있기 때문이다. 인터넷진흥원은 공격자들이 국내외 싱크탱크나 정부기관을 사칭해 주요 정보 검토나 의견 수렴, 설문조사 등을 명목으로 QR코드 접속을 유도했다고 설명했다. 외교 관련 정부기관 사칭하는 사례도 확인됐다. 해당 QR코드를 통해 작성하면 정상 사이트와 유사하게 제작된 로그인 페이지로 연결돼 피해자의 계정 정보는 물론 피해자 소속 기업이나 단체의 IT 인프라 접근 인증정보를 탈취하는 방식이다. FBI도 “김수키는 지난해 5월 대사관 직원을 사칭해 싱크탱크 소속 연구원에게 북한 인권 문제 관련 의견을 요청하는 이메일을 보냈는데 이 이메일에는 보안 자료 접근 수단으로 위장된 악성 QR 코드가 포함돼 있었다”고 말했다.
AI를 기반으로 사이버 공격이 나날이 고도화하며 비상이 걸렸다. 국가정보원은 올해 AI가 해킹 전 과정에 개입하면서 사이버안보 패러다임이 전환되고 한국의 전략산업 기술을 절취하기 위한 해킹·협력사 침투·내부자 포섭 등 가용 수단이 총동원될 것이라고 전망했다. 아울러 통신국가나 범죄조직간 공생적 해킹 신디케이트(임시조직) 세력이 확장할 것으로 예측했다. 안랩(053800)도 2026년 5대 사이버 보안 위협 전망을 통해 올해 AI가 표적에 대한 맞춤형 공격을 실시하는 단계로 본격 진입할 것으로 예측했다. AI가 사용자의 환경을 실시간으로 분석해 악성코드를 자동으로 생성·실행하는 적응형 공격이 늘어날 것이라는 것이다.
한국 사이버 보안 체계의 취약점이 드러나고 있다. 국정원이 지난해 중앙부처, 광역지자체, 공공기관 등 152개 기관을 대상으로 실시한 사이버보안 실태평가에서 우수 등급을 받은 중앙부처와 광역지자체가 0개였다. 특히 방송미디어통신위원회, 소방청, 우주항공청, 재외동포청 등 중앙부처와 서울시, 충남도 등 광역지자체는 미흡 등급을 받았다.
정부가 중장기 보안 대책인 ‘국가 사이버 안보전략’을 서둘러 수립해야 한다는 주장이 나온다. 당초 이 대책은 지난해 말 공개될 예정이었지만 아직 발표되지 않았다. 통신사, 신용카드사 해킹과 쿠팡 개인정보 유출 등 대형 사고 대응에 자원이 집중된 영향이다. 업계 관계자는 “국가 차원의 사이버 보안 체계를 정비해 진화하는 공격에 대응해야 한다”고 말했다.
