북한 정찰총국과 연계된 해킹그룹 김수키(Kimsuky)가 QR코드를 통한 새로운 해킹 수법을 사용하고 있는 것으로 알려졌다. 미국 연방수사국(FBI)은 8일 이 같은 내용이 담긴 사이버정보 속보 안내문을 공개했다.

안내문에 따르면 김수키 그룹 해커들이 최근 미국 내 비정부기구(NGO), 싱크탱크, 학계 등의 외교정책 전문가들로부터 ‘퀴싱(Quishing)’ 수법으로 정보를 탈취하려는 시도를 한 것이 포착됐다. ‘퀴싱(Quishing’은 ‘QR코드(QR Code)’와 ‘피싱(Phishing)’의 합성어로, QR코드 안에 악성 URL을 숨겨 피해자를 가짜 사이트로 유도하는 해킹 기법을 말한다.

최근에는 대부분의 회사 이메일과 컴퓨터에는 보안 수단이 마련돼 있다. 하지만 해커가 악성 QR코드를 첨부파일이나 내장 그래픽으로 포함한 이메일을 발송하면 받는 사람이 이메일을 회사 컴퓨터로 열어봤더라도 그 속에 포함된 QR코드를 스캔하려면 모바일 기기의 카메라를 써야만 하므로 보안 수단이 작동하지 않을 수 있다.

이번 FBI 안내문에는 악성 QR코드를 이용해 설문지 링크나 행사 참석 신청 링크 등으로 위장한 사이트로 연결시키고 이를 통해 암호, 개인정보, 지문 등 민감한 정보를 탈취하려고 시도한 사례들이 여러 건 보고됐다. FBI는 회사와 기관 등이 임직원들에게 사회공학적 해킹 수법들에 주의를 기울이도록 하고 정체가 확인되지 않은 QR코드를 스캔하는 것이 위험한 행위임을 교육시켜야 한다고 강조했다. 또 까다로운 비밀번호를 설정하도록 의무화하는 것도 대응책으로 꼽았다.

특히 김수키가 사용하는 퀴싱 공격 방식은 △공격 이메일에 QR코드를 삽입하고 △QR코드를 스캔하면 모바일로 유도하며 △악성 사이트로 연결하고 △악성 사이트를 통해 계정 비밀번호와 개인정보 및 생체 정보 등 정보를 탈취하는 등 순서로 진행된다. 특히 김수키 그룹의 공격 특징은 다중인증(MFA)을 우회하기 때문에 더 위험한 것으로 알려졌다.

FBI 측은 “피해를 막기 위해서는 QR코드 연결 URL을 분석할 수 있는 모바일 기기 관리 도구 배포, 피싱 방지 다중 인증 사용, QR코드 스캔 후 활동 기록 및 모니터링, 사용자 접근 권한 검토 등이 필요하다”고 권고했다.