찍는 순간 시작되는 위협, 김수키 사례로 알아보는 QR코드 퀴싱
미국 FBI가 북한 해킹 조직 ‘김수키(Kimsuky)’의 새로운 공격 수법에 대해 직접 경고했다. 이들이 사용한 방식은 이메일에 삽입된 QR코드를 악용한 이른바 ‘퀴싱(Quishing)’ 공격이다. QR코드 안에 악성 링크를 숨겨 사용자를 피싱 사이트로 유도하는 이 수법은 개인 모바일 기기를 경유해 기존 이메일 보안과 엔드포인트 방어 체계를 우회하는 현실적인 위협이 되고 있음을 보여준다. 이번 김수키 사례를 통해 퀴싱 공격의 실체와 그 위험성을 짚어본다.
FBI가 경고한 김수키의 새로운 접근 방식
미국 FBI에 따르면, 김수키는 악성 QR코드를 활용한 표적 피싱 공격을 수행하고 있다.
공격 대상은 싱크탱크, 학술기관, NGO, 정부 및 외교·안보 관련 조직 등 정책·정보적 가치가 높은 기관들이었다. 김수키는 설문조사 요청, 보안 문서 열람, 존재하지 않는 콘퍼런스 등록 안내 등 업무와 자연스럽게 연결되는 내용을 내세운 이메일에 QR코드를 삽입해 피해자의 자발적인 행동을 유도했다.
김수키 공격에서 확인된 ‘퀴싱’이란?
퀴싱은 QR코드(QR Code)와 피싱(Phishing)의 합성어로, QR코드 안에 악성 URL을 숨겨 사용자를 피싱 사이트로 유도하는 공격 기법을 말한다.
김수키 조직은 이메일 자체는 정상적인 내용처럼 구성한 뒤, 본문이나 첨부 이미지 형태로 QR코드를 삽입했다. 사용자가 이를 스마트폰으로 스캔하면 공격자가 통제하는 피싱 사이트로 연결된다.
이 과정에서 업무 관련 요청으로 위장한 시나리오가 사용됐으며, QR코드를 스캔하는 순간 계정 정보 입력을 유도받거나 인증 토큰 탈취로 이어지는 사례도 확인됐다.
왜 퀴싱이 위험한가?
1) 모바일 기기를 노린 보안 우회 전략
FBI가 주목한 부분은 공격의 출발점이 모바일 기기라는 점이다. 대부분의 기업 환경에서는 PC와 이메일 시스템에 보안 솔루션이 적용돼 있지만, QR코드를 스캔하는 행위는 개인 모바일 기기에서 이뤄지는 경우가 많다.
이로 인해 이메일 보안, 엔드포인트 탐지·대응(EDR) 체계를 자연스럽게 벗어나며, 보안 관리가 상대적으로 느슨한 경로가 공격에 활용됐다. FBI는 이를 “관리되지 않는 모바일 기기에서 시작되는 침투 방식”으로 분석했다.
2) 다중 인증(MFA)까지 우회한 실제 공격 흐름
QR코드를 통해 연결된 페이지는 구글, 마이크로소프트 365 등 정상 로그인 화면을 정교하게 모방한 피싱 사이트였다. 사용자가 계정 정보를 입력하면, 비밀번호뿐만 아니라 세션 토큰이 함께 탈취되는 사례도 확인됐다.
이 방식은 MFA을 적용한 계정이라 하더라도 추가 인증 절차 없이 계정 탈취로 이어질 수 있다. 탈취된 계정은 이후 조직 내부를 노리는 2차 스피어피싱 공격의 거점으로 활용됐다.
[FAQ] 김수키 사례로 보는 퀴싱 공격
Q1) 퀴싱 공격은 왜 최근 더 주목받고 있나요?
A) 퀴싱은 QR코드를 통해 모바일 기기를 경유하기 때문에, 기존 이메일 보안이나 엔드포인트 탐지·대응(EDR) 체계를 우회할 가능성이 높다. 특히 MFA를 적용한 환경에서도 계정 탈취로 이어질 수 있는 공격 방식으로 주목받고 있다.
Q2) 퀴싱 공격에서는 어떤 방식으로 사용자를 속이나요?
A) 공격자는 실제 존재하는 기관이나 인물을 사칭하고, 설문조사·보안 문서·행사 초청 등 업무를 연상시키는 명분을 사용해 QR코드를 스캔하도록 유도한다. 이 과정에서 사용자는 정상적인 요청으로 오인해 피싱 사이트에 접속하게 된다.
Q3) QR코드를 스캔하는 것만으로도 위험할 수 있나요?
A) 스캔 자체로 악성코드가 즉시 설치되지 않더라도, 피싱 사이트로 연결돼 계정 정보 입력을 유도받을 수 있다.
Q4) 조직 차원에서는 어떤 대응이 필요할까요?
A) FBI는 ▲QR코드 피싱 인식 교육 ▲모바일 기기 관리(MDM) ▲강화된 MFA 정책 ▲QR코드 스캔 이후 행위에 대한 모니터링을 권고했다.
김수키 사례가 던지는 시사점
이번 김수키의 퀴싱 공격은 QR코드가 더 이상 단순한 편의 기능이 아니라 모바일 기기를 활용해 보안 체계를 우회하는 실질적인 공격 경로로 자리 잡고 있음을 보여준다.
보안의 범위가 PC와 이메일을 넘어 모바일 기기와 사용자 행동 전반까지 확장되지 않는다면, 유사한 공격은 앞으로도 반복될 것이며, 조직의 계정 보안과 내부 신뢰 체계를 지속적으로 위협할 수 있다.
출처 : AhnLab
