[IT 소식] 누구나 큐알코드 앞에 서면 파블로프의 개 신세가 된다?

 

누구나 큐알코드 앞에 서면 파블로프의 개 신세가 된다?

큐알코드는 급변하는 세상 속에서 거의 유일하게 남아 있다시피 한 ‘사용하기 편리한 기술’이다. 그래서 팬데믹 기간에 많은 기관과 업체들이 큐알코드를 사용해 대면의 상황을 최소화 할 수 있었다. 그런데 그런 편리함이 최근 들어 폭발적으로 악용되고 있다.

[보안뉴스 문정후 기자] 큐알코드는 현대 성인들의 일상에 깊숙하게 들어와 있는 IT 요소 중 하나다. 미국의 경우 거대 스포츠 행사 중 하나인 슈퍼볼선데이(Super Bowl Sunday)에서 큐알코드를 적극하는 바람에 큐알코드가 더 대중화 되고 있다.

슈퍼볼 연출자들은 광고 협찬을 받아 미식축구 경기장에 반짝이는 큐알코드를 30초간 송출하는데, 이 큐알코드가 제자리에 가만히 있지 않고 여기 저기 마구 돌아다닌다. 시청자들 중 이 큐알코드를 잡아내는 데 성공한 사람에게는 암호화폐 관련 정보가 제공된다. 이것뿐만 아니라 메뉴를 큐알코드로 제공하는 식당들도 늘어나고 있고, 각종 출석 확인을 큐알코드로 하는 사례도 증가 중에 있다.

[이미지 = utoimage]

큐알코드의 강점은 간편함에 있다. 스마트폰의 카메라 기능만 사용할 줄 알아도 누구나 큐알코드와 ‘상호작용’을 할 수 있게 된다. 하지만 바로 그 편리함 때문에 큐알코드는 매우 위험한 무기가 될 수 있다. 다만 슈퍼볼 애청자들만이 아니라 여러 기업들에도 크나큰 위협이 되고 있는 것이 현실이다.

큐알코드는 일종의 바코드로, 1994년 자동차 부품 공급회사인 덴소웨이브(Denso Wave)가 처음 만들었다. 목적은 간단했다. 자동차 안에 들어가는 수많은 부품들을 보다 편리하게 추적하기 위해서였다. 그렇게 시작되어 발전을 이뤄낸 큐알코드는 현재 40종으로 늘어나 있다. 각 종마다 서로 다른 정보를 탑재하고 있는데, 정보의 범위는 72비트에서부터 16,568 비트까지이다. 이 정도면 자동차 부품에 대한 정보를 탑재하기에는 충분하다. 악성 코드를 담는 그릇으로서도 마찬가지다.

공격자들도 큐알코드를 생활 속에서 밀접하게 사용하면서 공격의 도구로서의 가능성을 모색해 왔다. 그래서 팬데믹이 시작되면서 수많은 방역 관련 조치에 큐알코드들이 사용되기 시작하자 공격자들은 이를 악성 도구로 활용하기 시작했다. 그것도 폭발적으로 말이다.

큐알코드만 스캔하면 손님은 식당 주인에게 백신을 맞았다는 사실을 알려줄 수 있었다. 큐알코드만 스캔하면 손님은 식당의 메뉴를 스마트폰으로 받아볼 수 있었다. 아주 복잡할 수 있는 콘텐츠 열람 과정이 큐알코드 스캔 한 번으로 해결된 것이다. 큐알코드의 이러한 편리함은 콘텐츠 다운로드 및 인터랙션의 현 상황을 크게 바꾸었고, 이 점에 공격자들도 주목해 왔었다.

사실 문제의 근원은 큐알코드의 편리함이나 잠재력이 아니다. 그랬다면 큐알코드가 처음 나왔을 때부터 문제가 되었어야 했다. 최근 들어 사람들이 큐알코드에 너무나 익숙해진 나머지 아무런 생각도 하지 않고 스캔을 하기 시작했다는 것이 진짜 문제다. 식당에서 큐알코드를 스캔하는 손님들 중 큐알코드를 면밀히 검토하는 사람을 몇 번이나 본 적이 있는가? 당신은 어떤가?

아마 한 명 봤다면 많이 본 경우가 될 것이다. 그게 이런 IT와 보안 칼럼을 시간 내 읽을 정도인 당신일 수도 있다. 큐알코드에 반응하는 인간은 더 이상 생각하는 존재가 아니다. 자동 반사적으로 스마트폰을 내밀기 때문이다. 공격자들이 노리는 건 바로 이 지점이다. 모든 소셜 엔지니어링 공격이 그렇지만 사람의 허점이 큰 문제를 일으키기 마련인데, 큐알코드도 그러한 범주 아래 들어간다.

물론 큐알코드라는 것이 눈으로 정상적인 것과 비정상적인 것을 구분하기 힘든 형태로 만들어져 있다. 그렇기 때문에 큐알코드를 의심하고 면밀히 살펴본다고 해도 올바르게 구분해 낼 수 있다고 장담하기 힘들다. 그렇다면 이런 상황에서 기업들은 악성 큐알코드를 생각없이 스캔해(혹은 눈으로만 살펴봐) 멀웨어를 다운로드 하는 직원들로부터 데이터를 보호하기 위해 어떤 조치를 취할 수 있을까?

가장 먼저 생각나는 건 큐알코드의 사용을 전면 금지시키는 것이다. 하지만 모든 임직원들에게 어느 식당이나 기관에 들어가든, 어떤 대중교통을 이용하든 큐알코드 스캔을 하지 말라고 명령하는 건 실용적이지도 않고 시행이 가능하지도 한다. 큐알코드는 이미 우리 생활 속에 깊이 들어와 있어 빼낼 수 없다. 우리가 할 수 있는 것이라고는 그저 교육과 훈련을 통해 사용자들이 주의 깊게 큐알코드를 스캔하도록 만드는 것 뿐이다.

가장 먼저 임직원들에게 알려줘야 할 건, 자동반사적으로 큐알코드를 스캔하면 위험하다는 것이다. 큐알코드로 메뉴판을 대신하는 식당에 갔을 때, 어떻게 하면 주의할 수 있게 될까? 간단하게는 식당 문이나 식당 벽면에 붙어 있는 큐알코드를 스캔하지 않으면 된다. 메뉴를 보고 싶다면 식당 근무자들에게 큐알코드를 새로 인쇄해서 가져다 달라고 요청해야 한다. 식당 리뷰를 남기고 싶다? 그러면 영수증 밑에 프린트 되는 큐알코드를 스캔하면 된다. 즉 큐알코드의 출처를 눈으로 확인한 후에 스캔하라는 것이다. 바쁜 식당 벽면 큐알코드를 해커가 몰래 바꿔놓는 건 일도 아니고, 실제 그런 일들이 자주 일어나기도 한다.

그 다음은 큐알코드를 왜 지금, 혹은 어떤 상황에서 스캔해야 하는지 정확히 이해하고 스캔을 하라고 알려줘야 한다. 거래하는 은행의 공식 로고가 박힌 문서에 있는 큐알코드라면? 스캔할 만하다. 길거리 전봇대에 붙어 있는 큐알코드라면? 절대 하면 안 된다. 큐알코드는 소포와 다름이 없다. 그 안에 들어 있는 내용물이 무엇인지 알 수가 없는 용기라는 것이다. 소포를 통한 각종 테러 공격이 지금도 심심치 않게 발생하는데, 당신은 그저 당신 이름이 써 있는 소포라고 해서 신나게 열어볼 것인가? 최소한 자기가 왜 어떤 상황에서 어떤 출처를 가지고 있는 큐알코드를 스캔하려 하는지는 이해하고 있어야 한다.

큐알코드는 광범위하게 퍼져 있고, 누구나 친숙하게 사용할 수 있기 때문에 위험하고, 그렇기 때문에 피싱 공격에 대한 교육을 실시하기에 좋은 교재가 될 수 있다. 몇 번 모의 실험을 통해 큐알코드의 무서움을 느끼게 한다면 사람들은 피싱 공격이라는 것에 새로운 관심을 갖게 된다. 그러면서 별 다른 고민 없이 자동으로 실행으로 옮기는 것의 위험 자체에 대한 깨달음도 얻을 수 있다.

피싱에 사용되는 도구가 무엇이든 결국 공격자가 노리는 건 하나다. 사용자의 분석적인 생각이나 냉철한 관찰 없는 행동이 바로 그것이다.

글 : 커티스 프랭클린(Curtis Franklin), 수석 분석가, Omdia
[국제부 문정후 기자(globoan@boannews.com)]


출처 : 보안뉴스
https://www.boannews.com/media/view.asp?idx=105971