미 연방수사국(FBI)은 북한의 해킹조직 김수키(Kimsuky)가 QR코드를 이용하여 미국과 해외 정부, 연구기관을 대상으로 한 사이버 공격을 벌이고 있다고 밝혔다. 김수키는 QR코드와 피싱(Phishing)의 합성어인 ‘퀴싱(Quishing)’ 기술을 사용하여 악성 URL을 QR코드에 삽입하고, 이를 통해 정보를 탈취하는 방식이다. FBI는 이들 공격이 지난해 5월과 6월 동안 비정부기구(NGO), 싱크탱크, 학계 관계자, 외교 및 안보 전문가들을 대상으로 진행된 정황을 확인했다고 전했다.
김수키는 주로 외국의 전문가나 대사관 직원, 싱크탱크 관계자로 위장하여 이메일을 발송하고, 설문조사 참여나 보안 드라이브 접근, 콘퍼런스 초대 등을 통해 피해자가 QR코드를 스캔하도록 유도한다. 피해자가 QR코드를 스마트폰에서 스캔하게 되면, 악성코드가 포함된 가짜 로그인 페이지로 연결되며, 이 과정에서 계정 정보와 인증 토큰 등이 탈취되는 구조가 뚜렷하게 드러났다. 예를 들어, 한 싱크탱크 대표에게 한반도 정세에 대한 의견을 요청하는 이메일이 발송된 사례와 북한 인권 관련 연구원에게 보안 드라이브 접근을 가장한 QR코드가 전달된 사례가 포함되며, 이외에도 존재하지 않는 국제 콘퍼런스 초청 메일을 통해 가짜 구글 로그인 페이지로 유도한 사례가 보고되었다.
FBI는 이러한 공격이 기존 이메일 보안 시스템을 효과적으로 우회할 가능성이 크다고 경고했다. 보안이 강화된 PC에서 이메일을 열어도 QR코드 스캔 단계에서 관리되지 않는 모바일 기기를 통해 보안이 무너질 수 있다는 점에서, 공격자는 모바일 환경에 최적화된 피싱 페이지를 통해 다중 요소 인증(MFA)을 우회하고 클라우드 계정을 안전하게 탈취할 수 있다.
국내 사이버 보안 업체인 엔키 화이트햇(ENKI WhiteHat)도 최근 김수키의 QR코드와 모바일 알림 팝업을 활용한 정보 탈취 악성코드 설치 시도를 포착한 바 있으며, 안드로이드 스마트폰을 겨냥한 악성 애플리케이션 배포 정황도 확인되었다. 보안 전문가들은 이러한 사건이 김수키의 사이버 작전이 단순한 악성코드 유포를 넘어, 사용자 행동과 모바일 보안의 취약점을 교묘히 이용하고 있음을 보여준다고 분석하고 있다.
특히 이번 공격은 정보를 귀중하게 여기는 정책, 외교 및 안보 분야의 기관들이 주요 표적이 되고 있어, 국가 차원의 사이버 첩보 활동이라는 분석이 뒤따르고 있다. FBI는 제안한 대응책으로 QR 코드 피싱 위험성 교육, 출처가 불분명한 QR코드 스캔 금지, 모바일 기기 관리(MDM) 도입, 강화된 비밀번호 정책과 다중요소 인증 적용, QR코드 스캔 후 활동에 대한 모니터링 강화를 권고하며, 의심스러운 공격을 발견할 경우 즉시 FBI나 인터넷범죄신고센터(IC3)에 신고할 것을 당부했다.
