QR코드를 통한 해킹 사례와 사이버 보안

QR코드가 당신의 스마트폰을 뚫고 들어온다

코로나19 이후, QR코드는 우리의 일상에 깊숙이 자리 잡았다. 식당 입장, 전시회 참가, 할인 쿠폰 다운로드, 교통 앱 이용 등 거의 모든 오프라인 활동에서 QR코드 스캔은 하나의 필수 행동이 되었다.

하지만 많은 사람들은 이 QR코드가 해커의 도구가 될 수 있다는 사실을 알지 못한다.

QR코드는 시각적 이미지일 뿐이지만, 그 안에는 웹사이트 주소, 앱 다운로드 링크, 자동 실행 명령어 등 다양한 악성 요소가 숨겨질 수 있다.

이번 글에서는 실제 행사장에서 발생한 QR코드 해킹 사례를 통해, 우리가 매일 아무렇지 않게 찍는 코드 하나가 어떻게 보안 위협으로 이어지는지 상세히 알아본다.

 

실사례: 지역 박람회에서 발생한 QR코드 해킹 사건

2025년 3월, 수도권에서 열린 중소기업 박람회에 참가한 직장인 이성현 씨(32)는 입장 시 QR코드 명함 교환을 요청받았다.
부스 담당자가 “명함 대신 스마트폰으로 이 QR만 찍어주시면 됩니다”라고 안내했고, 그는 별다른 의심 없이 QR을 카메라로 스캔했다.

QR코드는 자동으로 브라우저를 열며 “상세 명함 정보 확인 중”이라는 메시지를 띄웠고, 약 2~3초 후 아무 반응 없이 닫혔다.
이후 특별한 문제가 없는 듯 보였으나, 1시간 뒤 이 씨는 스마트폰이 비정상적인 발열과 배터리 소모를 보이는 걸 확인했고,
다음날 아침, 그의 이메일과 카카오 계정에 다른 기기에서의 로그인 시도 알림이 다수 기록되었다.

보안 점검 결과, 당시 QR코드에 포함된 링크는 실제 명함이 아닌 악성코드가 포함된 APK 설치 페이지로 연결되어 있었고,
해당 페이지는 안드로이드에서 자동 설치를 유도하는 방식으로 조작돼 있었다.
이 씨는 보안 앱의 도움으로 악성 앱을 제거했지만, 이미 로그인 정보 일부는 외부로 유출된 상황이었다.

 

해커는 QR코드를 어떻게 악용하는가?

QR코드 자체는 단순한 이미지지만, 그 안에 담기는 정보는 무궁무진하다.
대부분의 해커는 다음과 같은 방식으로 QR코드를 악용한다:

1. 피싱 사이트 연결

• QR을 찍으면 실제 서비스와 유사한 가짜 로그인 화면으로 연결
• 사용자가 계정 정보를 입력하면 그대로 해커 서버로 전송

2. 악성 앱 다운로드 유도

• QR을 통해 바로 APK(안드로이드 설치 파일) 다운로드 페이지로 이동
• 자동 설치 및 접근 권한 요청 → 사용자 모르게 백도어 설치

3. 자동 실행 명령어 삽입

• 특정 QR은 와이파이 자동 접속, 블루투스 연결, NFC 활성화 등을 실행
• 보안이 취약한 설정으로 기기 전체가 노출될 수 있음

 

QR코드 해킹이 증가하는 이유

원인                                                       설명

 

🔄 사용자 습관화	QR 스캔을 매일 하다 보니 ‘의심’이 사라짐
🎭 시각적으로 안전해 보임	이미지 형태이기 때문에 ‘위험하다’는 인식이 적음
⚙️ 스마트폰 자동 처리	대부분의 스마트폰은 QR을 찍으면 자동으로 링크 실행
📶 오프라인 환경 악용	전시회, 행사, 거리에서 ‘검증 불가한 코드’가 무분별하게 배포됨

 

 

사용자가 범한 주요 보안 실수 5가지

1. QR코드 스캔 전 URL 미확인
   → QR 스캔 후 자동으로 열리는 페이지 주소를 확인하지 않음
2. 앱 자동 설치 허용 설정 그대로 유지
   → 보안 설정에서 ‘출처 불명 앱 설치 허용’이 활성화된 상태였음
3. 보안 앱 미설치 상태에서 다운로드 진행
   → 실시간 감지 기능이 없어 악성 앱이 감지되지 않음
4. 카카오/이메일 등 주요 서비스 로그인 유지 상태
   → 악성 앱이 로그인 쿠키 및 세션을 탈취 가능
5. 공용 와이파이와 함께 QR코드 사용
   → 데이터 송수신 중 해커에게 추가적인 기회 제공

 

QR코드 관련 보안을 지키기 위한 실천 수칙 7가지

1. 스캔한 QR이 연결하는 URL 주소를 항상 확인

• 의심스러운 주소일 경우 즉시 종료
• ‘bit.ly’, ‘tinyurl’ 같은 단축 URL은 특히 주의

2. QR 스캔 시 자동 링크 실행 기능 비활성화

• 설정에서 ‘자동 열기’ 기능 끄기
• URL을 수동으로 복사 후 확인하는 습관

3. APK 자동 설치 차단

• ‘설정 > 보안 > 출처를 알 수 없는 앱 설치’ → 비활성화
• 설치 전 항상 출처와 서명 확인

4. 보안 탐지 앱 설치 (실시간 감지)

• 추천 앱: Lookout Security, Kaspersky, Norton 등
• 백도어 탐지 기능 포함된 앱 사용

5. 행사나 전시장에서는 직접 QR 설치 금지

• QR코드는 반드시 공식 부스에서만 스캔
• 바닥, 가로등, 의심 장소 부착 QR은 무조건 피하기

6. 로그인 정보 저장 금지 및 2단계 인증 활성화

• 자동 로그인 해제
• 구글, 카카오, 네이버 등 2FA 설정 필수

7. 스마트폰 이상 증상 시 즉시 점검

• 갑작스러운 발열, 배터리 감소, 데이터 사용 급증 시
• 악성 앱 또는 백그라운드 감염 의심

 

QR코드는 ‘디지털 문’이 될 수 있다

QR코드는 편리하다. 하지만 그만큼 취약하다.
링크가 보이지 않기 때문에, 사용자는 무엇이 실행되는지 모른다.
그 속에 들어있는 코드 하나가 당신의 모든 계정에 접근할 수 있는 문이 될 수 있다.

이제부터는 QR을 찍기 전 한 번 더 생각하자.
“이 코드, 어디로 연결되나?”
그 질문 하나가 당신의 모든 디지털 자산을 지키는 첫 번째 방어선이 될 수 있다.