코로나 이후 비대면 문화가 확산되면서, QR코드는 우리 일상에서 필수 도구가 되었습니다. 식당 메뉴판, 주차요금 결제, 포인트 적립, 이벤트 참여, 심지어 주민센터·은행 업무 안내까지 대부분의 정보와 결제가 QR코드를 통해 이뤄지고 있습니다. 그러나 바로 이 점을 노린 새로운 디지털 사기 수법이 등장했는데, 그것이 바로 QR코드 스캠입니다. QR코드 스캠은 사용자가 코드를 스캔하는 단 한 번의 행동만으로 악성 사이트 접속, 피싱 페이지 유도, 가짜 결제 화면 노출 등의 피해를 야기할 수 있어 매우 위험합니다.
QR코드는 겉으로 보기에는 모두 비슷한 흑백 패턴이기 때문에, 사용자는 “이게 진짜인지 가짜인지”를 육안으로 구분하기 어렵습니다. 바로 이런 특성 때문에 공격자 입장에서는 전단지, 벽면, 카드, 스티커 등 어디에나 손쉽게 가짜 QR코드를 붙여놓을 수 있습니다. 이번 글은 디지털 사기 예방 실생활 가이드 시리즈 중 네 번째 글로, 생활 속에서 자주 마주치는 QR코드 스캠 유형을 정리하고, 실제로 스캔하기 전에 어떤 점을 확인해야 하는지, 그리고 피해를 줄이기 위한 구체적인 보안 습관을 제시합니다.
1. 생활 속에서 자주 등장하는 대표적인 QR코드 스캠 유형
1) 주차장·무인결제기를 노린 QR코드 스캠
가장 대표적인 QR코드 스캠 유형은 주차장, 무인결제기, 카페 키오스크 등을 노리는 방식입니다. 공용 주차장이나 노상 주차 구역에는 “요금 결제는 이 QR코드로”라는 안내 문구와 함께 QR코드가 인쇄된 안내판이 붙어 있는 경우가 많습니다. 공격자는 이 안내판 위에 가짜 QR코드 스티커를 붙이거나, 전혀 다른 안내판을 기존 위치에 슬쩍 교체하는 방식으로 사용자들을 속입니다.
이렇게 위조된 QR코드를 스캔하면, 실제 주차장 결제 페이지가 아닌 가짜 결제 사이트나 피싱 페이지로 연결됩니다. 사용자는 주차요금을 납부한다고 생각하며 카드번호·CVC·유효기간 등 민감한 정보를 입력하지만, 실제로는 공격자의 서버로 전송되는 구조입니다. 이후 카드 도용·해외 결제·정기결제 등록 등의 피해로 이어질 수 있습니다.
2) 식당·카페 메뉴판을 위장한 QR코드 스캠
식당·카페에서는 종이 메뉴 대신 테이블 위 QR코드를 통해 주문하는 방식이 많이 사용됩니다. 공격자는 이 점을 노려, 기존 메뉴 QR코드 위에 본인이 만든 가짜 코드를 덮어붙이거나, 메뉴판 모양의 스티커를 따로 제작해 테이블 위에 올려둡니다. 사용자가 이를 스캔할 경우, 정상 주문 페이지 대신 악성앱 설치 안내나 계정 로그인 페이지로 연결될 수 있습니다.
특히 SNS 계정이나 포털 계정 로그인을 요구하는 경우, “리뷰 작성 시 혜택 제공” 같은 문구로 이용자를 안심시키면서 아이디·비밀번호를 수집하는 패턴도 있습니다. 이렇게 탈취한 계정 정보는 다른 사이트로의 2차 공격에 활용되며, 개인정보 유출·지인 사칭·광고 계정 탈취 등 다양한 범죄에 쓰일 수 있습니다.
3) 전단지·포스터 형태로 배포되는 QR코드 스캠
거리, 버스 정류장, 승강기, 전단지 등에서 “이벤트 응모”, “무료 쿠폰 지급”, “설문조사 참여”를 명목으로 QR코드가 인쇄된 포스터나 종이를 쉽게 볼 수 있습니다. 이 중 일부는 실제 마케팅 이벤트일 수 있지만, 상당수는 확인되지 않은 출처의 QR코드입니다. 공격자는 사람들의 호기심과 ‘무료 혜택’ 욕구를 자극하여 악성 사이트 또는 광고 사이트로 트래픽을 유도하거나, 개인정보를 수집합니다.
특히 QR코드 스캠 사례 중에는 “무료 주차 등록”, “입주민 혜택 안내” 등 건물 입구나 엘리베이터 안에 붙어 있는 안내문을 위장한 경우도 있습니다. 입주민은 관리사무소에서 붙인 공식 안내로 착각하기 쉽기 때문에, 반드시 발신 주체를 확인해야 합니다.
2. QR코드를 스캔하기 전에 반드시 확인해야 할 체크 포인트
1) 누가, 어떤 목적으로 설치한 QR코드인가?
QR코드 스캠을 막기 위한 첫 번째 질문은 “이 코드를 누가, 왜 여기에 붙였는가?”입니다. 주차장이라면 주차장 운영사, 식당이라면 해당 매장, 관공서라면 행정기관처럼 명확한 관리 주체가 있어야 합니다. 관리 주체가 불분명한 QR코드는 기본적으로 의심하는 것이 안전합니다.
예를 들어, 건물 벽이나 가로등, 공용 게시판 등 누구나 포스터를 붙일 수 있는 공간에 있는 QR코드는 공식 안내인지 개인 광고인지 구분하기 어렵습니다. 이 경우, 먼저 눈으로 안내문 내용을 읽어보고 회사명·기관명·연락처가 정확히 기재되어 있는지, 홈페이지 주소나 로고가 신뢰할 수 있는지 체크해야 합니다.
2) QR코드가 덧붙여져 있거나, 위에 스티커가 씌워져 있지는 않은가?
가짜 QR코드는 기존 안내판 위에 스티커로 덧붙여지는 경우가 많습니다. 그래서 실제로 QR코드를 스캔하기 전에, 테두리나 모서리를 손으로 만져보고 스티커가 도톰하게 붙어 있는지 확인해 보는 것이 좋습니다. 조금만 살펴보면 아래쪽에 원래 인쇄된 코드가 비치는 경우도 있습니다.
또한 안내판 내용과 QR코드 위치가 따로 놀거나, 원래 인쇄된 것과 폰트·색감·정렬이 어색하게 다른 경우도 의심해야 합니다. 정상 안내판은 통일된 디자인을 유지하는 경우가 대부분이기 때문입니다.
3) 스캔 후 나타나는 URL과 앱 설치 요구 여부 확인
QR코드 스캔 후 바로 웹 브라우저나 앱 설치 화면이 열린다면, 주소 표시줄의 URL을 천천히 확인해야 합니다. 공식 사이트라면 회사명·기관명이 직관적으로 드러나는 도메인을 사용하지만, QR코드 스캠에서는 숫자와 영문이 뒤섞인 정체불명 주소를 사용하는 경우가 많습니다.
또한 단순한 안내나 메뉴 조회인데도 APK 설치, 알 수 없는 앱 설치를 강하게 유도한다면 그 자체로 위험 신호입니다. 일반 식당 메뉴·주차 안내용 QR코드는 별도의 앱 설치 없이 바로 웹 페이지로 연결되는 것이 자연스러운 구조입니다.
4) 과도한 권한 요청 여부 확인
QR코드를 스캔해 설치하게 되는 앱이 연락처, 문자, 통화기록, 위치, 저장공간 등 과도한 권한을 요구한다면 즉시 설치를 중단해야 합니다. 정상적인 메뉴·결제·안내 앱이라면 기본적인 네트워크 권한 정도면 충분한 경우가 대부분입니다.
3. QR코드 스캠을 막기 위한 스마트폰 보안 습관과 실천 전략
1) 공식 앱 우선 사용 원칙 세우기
주차요금, 배달 주문, 포인트 적립, 은행 업무 등 이미 공식 앱이 존재하는 서비스라면 가능한 한 앱을 직접 실행해 사용하는 것이 좋습니다. QR코드는 단지 편의를 위한 보조 수단일 뿐, 필수 경로가 아닙니다. 예를 들어, 주차장이 특정 앱 결제를 유도하더라도 직접 앱스토어에서 해당 앱을 검색해 설치하고, 앱 내에서 주차장을 검색해 결제하면 가짜 QR코드에 속을 가능성을 크게 줄일 수 있습니다.
2) 스마트폰 보안 설정 강화
QR코드 스캔으로 시작되는 공격을 막기 위해서는 기기 자체의 보안을 강화하는 것이 중요합니다.
- 설정에서 ‘출처를 알 수 없는 앱 설치 허용’ 옵션 비활성화
- 정기적인 OS 업데이트로 보안 패치 적용
- 신뢰할 수 있는 백신 앱 설치 및 실시간 검사 기능 활성화
- 알 수 없는 발신처에서 온 파일·앱은 설치하지 않기
3) 공공장소 QR코드 사용 시 추가 확인하기
주차장, 지하철역, 버스정류장, 엘리베이터 안과 같은 공공장소에 붙은 QR코드는 유난히 스캠 위험이 높습니다. 이런 장소에서는 다음과 같은 추가 확인을 하는 것이 좋습니다.
- 해당 시설의 이름을 포털에서 직접 검색해 공식 홈페이지를 통해 진행
- 관리사무소, 안내 데스크, 직원에게 “이 QR코드가 공식 것인지” 직접 확인
- QR코드 주변에 “무단 부착된 QR코드를 주의해 주세요” 안내문이 있는지 확인
이처럼 조금만 수고를 들이면 QR코드 스캠에 당할 가능성은 크게 줄어듭니다.
4) 가족·지인과 QR코드 스캠 사례 공유하기
QR코드 스캠은 생소한 개념이어서, 한 번도 들어본 적 없는 사람은 쉽게 속을 수 있습니다. 따라서 가족·지인과 관련 뉴스를 함께 공유하고, “주차장·식당에서 QR코드 스캔하기 전에 한 번 더 확인하자”는 정도의 합의만 있어도 피해를 상당히 줄일 수 있습니다. 특히 부모님·어르신에게는 “앱 설치를 요구하는 QR코드는 일단 자녀에게 먼저 물어보기” 같은 간단한 원칙을 알려드리는 것만으로도 큰 도움이 됩니다.
결론: QR코드는 편리하지만, 출처를 모르면 언제든 스캠이 될 수 있습니다
QR코드는 분명 우리 삶을 편리하게 만든 도구입니다. 그러나 출처와 목적을 확인하지 않고 무심코 스캔하는 순간, QR코드 스캠의 시작점이 될 수 있습니다. 주차장·식당·카페·전단지·공공장소 등 어디에서든 가짜 QR코드는 붙을 수 있고, 사용자는 단 몇 초 만에 악성 사이트에 접속하거나 가짜 결제 페이지에 정보를 입력할 수 있습니다.
이 글에서 살펴본 것처럼, QR코드 스캠을 막기 위해 복잡한 기술이 필요한 것은 아닙니다. “누가 이 코드를 붙였는지”, “정말 이 상황에서 QR코드가 필요할지”, “앱 설치·권한 요청이 과도하지는 않은지”를 한 번만 더 생각해 보는 습관이면 충분합니다. 디지털 사기 예방 실생활 가이드 시리즈에서 강조하는 것처럼, 디지털 시대의 보안은 거창한 방어막이 아니라 작은 의심과 확인에서 시작됩니다.
앞으로 QR코드를 스캔하기 전, 이 글에서 소개한 체크 포인트를 한 가지라도 떠올려 보신다면 여러분의 일상은 훨씬 더 안전해질 것입니다. 가까운 가족, 친구, 동료와도 이 내용을 공유해, QR코드 스캠으로 인한 불필요한 피해를 함께 줄여 나가시길 바랍니다.