사회

이메일 피싱 83억 건 발생…QR코드 ‘퀴싱’ 공격, 글로벌 보안 비상

코파소 2026. 5. 16. 15:03
반응형

마이크로소프트 위협 인텔리전스가 2026년 5월 14일 공개한 ‘2026년 1분기 이메일 위협 환경 분석 보고서’에 따르면, 올해 1~3월 전 세계에서 탐지된 이메일 기반 피싱 공격은 총 83억 건에 달한다. 이는 월평균 약 27억 7천만 건에 해당하는 규모로, 사이버 범죄자들이 전통적인 링크 기반 공격을 넘어 QR코드를 활용한 ‘퀴싱(quishing)’ 전술로 빠르게 전환하고 있음을 보여주는 충격적인 수치이다. 특히 QR코드 피싱 공격은 1월 760만 건에서 3월 1,870만 건으로 146% 급증하며 최근 1년 내 최대치를 기록했다.


이 보고서는 단순한 통계가 아니다. 공격자들이 텍스트 기반 보안 솔루션의 한계를 교묘하게 우회하며, 사용자들의 모바일 기기를 노리는 고도화된 전략을 구사하고 있다는 사실을 명확히 드러낸다. QR코드는 이미지 형태로 삽입되기 때문에 기존 이메일 필터링 시스템이 악성 URL을 쉽게 탐지하기 어렵다. 공격자들은 PDF 첨부파일 내 QR코드를 활용하는 비중을 1월 65%에서 3월 70%로 확대했으며, 이메일 본문에 QR코드를 직접 삽입하는 방식은 한 달 새 336% 폭증했다. 이러한 변화는 피싱 공격의 ‘무기’가 단순 링크에서 시각적·이미지 기반으로 진화하고 있음을 의미한다.

 


퀴싱 공격의 핵심은 ‘신뢰성’과 ‘편의성’을 악용하는 데 있다. 피해자는 이메일 본문이나 첨부 PDF에 삽입된 QR코드를 스마트폰으로 스캔하면, 즉시 피싱 사이트로 연결된다. 이 과정에서 기업 보안 시스템을 우회할 가능성이 높아진다. 실제 Microsoft Defender for Office 365 데이터에 따르면, 1분기 전체 이메일 위협의 78%가 링크 기반이었으나, QR코드와 같은 비텍스트 요소가 급증하면서 공격 성공률이 높아지고 있다. 또한 CAPTCHA(캡차) 우회 기술과 결합되어 3월 한 달 동안 125% 증가하는 등 다중 전술이 관찰됐다.

 


공격의 목적은 주로 자격증명 탈취(credential phishing)이다. 스캔 후 나타나는 가짜 로그인 페이지에서 기업 계정, 은행 정보, 클라우드 서비스 접근 권한 등을 입력하도록 유도한다. 최근에는 ‘타이쿤2FA(Tycoon2FA)’ 같은 피싱-as-a-Service(PhaaS) 그룹의 활동이 줄었으나(15% 감소), 이는 새로운 QR코드 기반 그룹이 빈자리를 메우고 있다는 증거로 해석된다. 북미·유럽 기업뿐만 아니라 국내 기관·개인 사용자도 동일한 위협에 노출돼 있다. 실제 사례에서는 가짜 Microsoft 365 알림이나 은행 거래 확인 메일에 QR코드가 삽입되어 피해를 유발한 바 있다.


이러한 공격의 위험성은 단순한 금전적 손실을 넘어선다. 기업의 경우 내부망 침투, 랜섬웨어 유포, 지식재산 유출로 이어질 수 있으며, 개인은 신원 도용과 2차 피해를 입는다. 모바일 기기에서 스캔하는 경우 기업 VPN이나 엔드포인트 보안이 적용되지 않아 피해가 더 커진다. 전문가들은 “QR코드가 일상화된 시대에 보안 인식이 부족하면 누구나 피해자가 될 수 있다”고 경고한다.

 


예방을 위한 실천적 대응이 시급하다. 첫째, 출처가 불분명한 QR코드는 절대 스캔하지 말아야 한다. 둘째, 이메일 내 QR

코드를 발견하면 URL을 직접 브라우저 주소창에 입력해 확인한다. 셋째, 모바일 보안 앱(예: 안랩 V3, Microsoft Defender)을 설치하고 실시간 스캔 기능을 활성화한다. 넷째, 다단계 인증(MFA)을 모든 계정에 적용하고, 기업은 Microsoft Defender for Office 365 같은 고급 이메일 보안 솔루션을 도입해야 한다. 다섯째, 정기적인 직원 보안 교육을 통해 ‘QR코드 = 위험’이라는 인식을 심어주는 것이 효과적이다.


정부와 기업 차원에서도 대응이 강화돼야 한다. 한국정보보호산업협회 등 관련 기관은 퀴싱 전용 탐지 도구 개발과 사용자 캠페인을 확대할 필요가 있다. Microsoft 보고서는 “공격자들이 지속적으로 전술을 진화시키고 있으므로, AI 기반 위협 인텔리전스와 사용자 교육의 병행이 핵심”이라고 강조했다.


결론적으로, 83억 건이라는 천문학적 피싱 규모는 더 이상 ‘남의 일’이 아니다. QR코드 공격의 급증은 사이버 보안 패러다임의 전환점을 알리는 신호이다. 개인과 기업 모두 경각심을 높이고, 선제적 보안 조치를 취할 때만 이 비상 상황을 극복할 수 있을 것이다. 앞으로도 Microsoft를 비롯한 글로벌 보안 기관의 동향을 면밀히 주시하며, 실시간 대응 체계를 구축하는 것이 최우선 과제다.

반응형