게티이미지뱅크

북한의 정찰총국과 연계된 해킹그룹 ‘김수키’가 이메일에 첨부하는 큐알(QR)코드를 이용한 새로운 해킹 수법을 사용하고 있다는 미국 연방수사국(FBI)의 경고가 나왔다.

연방수사국은 8일(현지시각) 이런 내용을 담은 사이버 정보 속보 안내문을 발표했다.

안내문은 김수키 조직이 최근 ‘퀴싱’ 수법으로 싱크탱크, 학술기관, 미국과 해외 정부 기관 등의 정보를 탈취하려고 시도했다고 밝혔다. ‘퀴싱’은 큐알코드와 피싱을 합성한 말로, 이메일 첨부 파일이나 본문 이미지 형태로 악성 웹주소(URL)을 심어놓는 해킹 수법이다. 통상 회사의 업무용 컴퓨터에는 보안 수단이 마련돼 있기 때문에, 받는 사람의 개인 모바일 기기로 접속하도록 유도해 보안 체계를 우회하는 방식이다.

보고서에 나온 퀴싱 사례들을 보면, 2025년 5월 김수키 조직은 외국인 고문을 사칭해 한 싱크탱크 소장에게 보낸 이메일에서 한반도 정세에 대한 의견을 요청하며 설문조사용 큐알코드를 첨부했다. 같은달 다른 싱크탱크 선임연구원에게는 대사관 직원을 사칭해 북한 인권 문제에 대한 의견 요청 이메일을 보내며 보안 드라이브 접근을 가장한 큐알코드를 첨부했다. 같은해 6월에는 한 전략자문회사에 존재하지 않는 콘퍼런스 초청 이메일을 보냈다. 이메일에 포함된 큐알코드가 연결한 페이지에서 ‘등록’을 누르면 가짜 구글 계정 로그인 페이지로 이동해 사용자 계정 정보를 탈취하는 구조다.

연방수사국은 회사와 기관 등이 임직원에게 큐알코드 스캔의 위험성에 대해 교육하고, 긴급성을 강조하거나 신뢰기관을 사칭하는 사회공학적 해킹 수법을 식별하도록 훈련해야 한다고 강조했다. 비밀번호를 길게 설정하는 등 강력한 비밀번호 정책을 시행하고, 큐알코드 웹주소를 분석할 수 있는 모바일 기기 관리 도구와 피싱을 차단하는 다중요소 인증(MFA) 등을 도입해야 한다고도 권고했다.

이우연 기자 azar@hani.co.kr