지난 봄, 한 자영업자 커뮤니티에서 카페 사장님이 올린 글이 빠르게 퍼졌다. “카운터 위 카카오페이 QR이 어제부터 새 스티커로 덮여 있었는데 손님 결제가 평소처럼 들어와서 못 알아챘다.” 결제사 콜센터에 확인했더니 그 QR로 일어난 결제는 사장님 계좌가 아니라 누군가의 다른 계정으로 흘러간 흔적이 있었다는 것. 한국에서 점점 늘어나는 결제 QR 교체형 큐싱의 전형적인 사례다.
큐싱(Qshing) 은 QR 코드(Quick Response)와 피싱(Phishing)의 합성어로, QR을 미끼로 가짜 페이지·악성 앱·결제 사기로 유도하는 사이버 범죄를 통칭한다. 정책브리핑·KB국민은행 등 공공·금융 기관이 2025~2026년에 잇따라 큐싱 주의 자료를 내놓는 이유는 단순하다: QR이 한국인의 일상 깊숙이 들어왔고, 사기 표면이 그만큼 넓어졌기 때문이다. 이 글은 일반 사용자와 자영업자가 큐싱을 어떻게 식별·대응·신고하는지 한 장으로 정리한다.
한국에서 자주 보이는 큐싱 5패턴
같은 큐싱이라도 한국에서 자주 보이는 시나리오는 5가지로 추려진다.
1) 카카오·은행 알림톡 위장 “택배 미수령”, “범칙금 미납”, “건강보험료 환급” 같은 카톡·문자에 QR이 박혀 있고, 찍으면 카카오·은행을 흉내낸 가짜 페이지로 이동한다. 거기서 본인인증·계좌 정보·인증서 입력을 유도한다. 정상 카카오 알림톡은 보통 QR을 본문에 박지 않는다는 점이 식별 단서다.
2) 결제 QR 교체(매장 노린 큐싱) 카운터·테이블에 정상 결제 QR이 있는데 그 위에 위조 스티커가 덧붙여진다. 손님 결제가 사기범 계정으로 흘러가고 매장은 결제 알림이 안 와서야 알아챈다. 자영업자 입장에서 가장 직접적인 피해 패턴이다.
3) 가짜 모바일 청첩장 모르는 번호로 도착한 카카오톡 청첩장에 .apk 다운로드 QR이 박혀 있다. 정상 모바일 청첩장은 .apk 설치를 요구하지 않는다.
4) 관공서·공공시설 위장 QR 주차장 결제 단말기·공공시설 QR 위에 위조 스티커. 미국에서도 같은 패턴이 보고되고 있고(국제적으로 통용되는 수법) 한국에서는 노상 주차 결제·전기차 충전소 결제에서 사례가 보고되고 있다.
5) SNS 단축 URL 큐싱 인스타·트위터 DM, 텔레그램 광고에서 “이벤트 당첨” QR. 짧은 단축 URL을 펼치면 가짜 로그인 페이지로 이동.
큐싱 의심 QR 식별 3원칙
QR 자체로 진짜·가짜를 100% 구별할 수는 없다. 다만 다음 3가지가 모두 충족되면 큐싱 가능성이 높다.
| 신호 | 정상 | 큐싱 의심 |
|---|---|---|
| QR 부착 위치 | 매장이 직접 붙인 자리, 어제와 동일 | 어제 없던 새 스티커, 위치 어색 |
| 펼친 URL | 자체 도메인 (kakao.com, naver.com 등) | 단축 URL, 도메인 알 수 없음 |
| 도착 페이지 | 기존 앱·익숙한 디자인 | 권한·로그인·apk 설치 즉시 요구 |
가장 강력한 1차 방어는 QR을 찍으면 폰 카메라가 보여주는 URL을 한 번 더 확인하는 습관이다. iOS·안드로이드 모두 카메라 인식 시 URL 미리보기를 띄우니, 거기서 도메인이 어색하면 누르지 않고 닫으면 된다.
여기서 핵심은 위험이 ‘QR을 만드는 쪽’이 아니라 ‘모르는 QR을 스캔하는 쪽’에 있다는 점이다. 매장 와이파이 안내 QR을 PiPi의 QR 코드 생성기 같은 도구로 직접 만들었다면, 그 QR이 가리키는 목적지(우리 와이파이 SSID, 우리 메뉴 PDF 등)는 본인이 입력한 값이라 명확하다. 반대로 카운터에 어제 없던 QR이 붙어 있을 때는 그것이 무엇을 가리키는지 알 수 없다. 같은 QR이라도 ‘내가 목적지를 아는 QR’과 ‘출처를 모르는 QR’은 완전히 다른 신뢰 등급이다.
피해 발생 시 신고 절차
금전 피해가 있는 경우 (계좌·카드 도용·결제 사기)
- 즉시 112 신고: 경찰청 전기통신금융사기 통합신고. 통신사·금융사 합동 대응 라인
- 카드사·은행 콜센터에 카드/계좌 정지 동시 요청
- 사기 의심 거래는 결제사 콜센터에 거래정지 요청: 실제로 사기 거래가 되돌릴 수 있는 짧은 윈도우(보통 거래 직후 수십 분)가 있다
- 가까운 경찰서·사이버수사대 방문 신고서 접수
금전 피해 없이 의심 QR·악성 앱·정보 유출만 의심되는 경우
- 국번 없이 118 (KISA 한국인터넷진흥원) 으로 상담. 평일 8~20시 운영
- 카카오톡 ‘보호나라’ 채널 친구 추가 → 스미싱·큐싱 메뉴 → 이미지 첨부로 모바일 신고 가능
- counterscam112.go.kr 통합신고센터에서 온라인 접수
자영업자: 카운터 결제 QR 일일 점검 5분 루틴
자영업자가 큐싱으로부터 매장을 지키는 5분 루틴은 단순하다.
아침 영업 시작 전 (1분)
- 카운터·테이블 결제 QR 사진 1장씩 촬영
- 어제 사진과 비교. 위에 새 스티커 붙은 흔적 점검
- 의심되면 떼서 결제사 관리자 페이지 → QR 재발급 신청
영업 중 (수시)
- 손님 결제 시 결제사 앱 알림이 즉시 들어오는지 확인
- 알림이 1분 이상 지연되면 결제 자체를 의심
- 매장 카운터에 손님이 보지 않는 위치에 QR을 두지 않는다(위조 시도 노출도 ↓)
1차 방어: 라미네이팅 코팅 정상 결제 QR을 라미네이팅·아크릴 스탠드에 박아 두면 위조 스티커가 위에 잘 안 붙는다. 코팅된 QR은 손님 결제가 실패할 때 매장 직원이 떼어 다시 보여주기도 어려우므로(즉, 매장 자신이 QR을 자주 떼지 않는 환경) 위조 시도가 더 두드러진다.
우리 도구로 만든 QR과 큐싱은 어떻게 분리되나
PiPi QR 코드 생성기는 사용자가 입력한 URL·텍스트·Wi-Fi·연락처를 그대로 인코딩하는 정적 QR 도구다. 입력값이 서버로 전송되지 않으며, 도구가 임의로 다른 URL을 끼워 넣지 않는다. 즉 도구를 악의적으로 사용하더라도 그 QR은 사용자가 입력한 URL만 가리킨다.
이 차이가 중요한 이유:
- ‘도구의 안전성’ 과 ‘QR이 가리키는 곳의 안전성’ 은 분리해 평가해야 한다. 도구는 QR을 만들 뿐, QR이 가리키는 곳까지 검증하지 않는다: 즉 QR 생성기가 큐싱을 막아 주지는 않는다
- 본인이 매장에서 쓸 QR(와이파이·메뉴·연락처)이라면 신뢰하는 생성기로 직접 만들어 목적지를 본인이 통제하는 편이 안전하다. 그래야 그 QR이 무엇을 가리키는지 본인이 정확히 알기 때문이다
- 반대로 QR을 찍는 쪽일 때는 도구가 무엇이든 항상 펼쳐진 URL을 한 번 더 확인해야 한다: 위험은 언제나 스캔 측에 있다
매장 와이파이·메뉴 QR 가이드에서 정적 QR 인쇄·코팅 점검 절차를 더 자세히 다뤘고, QR 결제 가맹점 비교에서 결제 QR과 매장 안내 QR의 차이를 정리했다.
노년층 큐싱: 가족 단위로 막는다
큐싱 피해의 큰 비중이 디지털 리터러시가 낮은 노년층에서 발생한다고 KB국민은행 등 금융기관이 보고한다. 가족이 함께 점검할 3가지:
- 부모님 폰에 모르는 발신자 메시지 자동 차단(통신사 기본 기능) 활성화
- ‘잠시만요, QR 찍기 전에 가족 누구든 한 명에게 전화로 확인’ 가족 룰 만들기
- 부모님 카드·계좌의 출금 한도를 일·월 단위로 낮게 설정
큐싱은 기술 문제이기 전에 사람과 신뢰의 문제다. “QR 한 번 찍기 전에 30초 멈춤” 이 가장 강력한 방어다.
마무리
큐싱은 한국 일상에 깊이 박힌 QR 인프라의 그늘이다. 차단할 수 없다면 식별·신고·대응을 빠르게 하는 시민·자영업자가 되는 게 현실적이다. 이 글에서 다룬 핵심을 한 줄 요약하면:
- 펼친 URL 확인: QR 찍은 직후 도메인 한 번 더 본다
- 금전 피해 시 112, 그 외 의심은 118: 신고 라인 두 개만 외운다
- 자영업자는 카운터 QR 매일 사진 비교: 위조 스티커는 5초만에 잡힌다
신뢰는 잃기는 쉽고 회복은 어렵다. QR 한 번 찍기 전 30초의 멈춤이 통장과 매장을 지킨다.