·WhiteMail 보안팀#weekly-report#quishing#lookalike-domains
주간 보안 리포트 #2 — QR 피싱과 유사 도메인
이번 주에는 두 기법이 함께 자주 등장해서 묶어서 다룰 만했습니다. QR 코드 피싱("퀴싱", quishing)과 유사 도메인입니다. 따로 보면 둘 다 오래된 수법이지만, 합쳐지면 스캐너와 사람을 동시에 뚫도록 설계됩니다.
이번 주
행동 유도(call to action)가 오직 이미지로 그려진 QR 코드 하나뿐인 메일이 꾸준히 들어왔습니다. "스캔하여 보안 문서 확인", "스캔하여 계정 재인증" 같은 식이고, 본문에는 클릭 가능한 링크가 아예 없습니다.
바로 그게 노림수입니다. 대부분의 이메일 필터에게 QR 코드는 그저 픽셀 덩어리입니다. 악성 URL이 텍스트로 전혀 나타나지 않으니, URL 평판 검사도 링크 재작성도 겨냥할 대상이 없습니다. 게다가 사람들은 QR을 개인 휴대폰으로 스캔하기 때문에, 클릭은 관리되는 기기 바깥에서 — 대부분의 통제 밖에서 — 일어납니다.
집중 분석: 스캐너와 눈을 동시에 뚫기
- 스캐너 상대: 목적지는 이미지 안에 들어 있습니다. href도, 텍스트 URL도, 평판을 검사할 대상도 없습니다. 무언가가 실제로 QR을 디코딩하지 않는 한 말입니다.
- 사람 상대: 디코딩된 도메인은 당신이 신뢰하는 브랜드와 한 끗 차이입니다. 글자 하나가 바뀌었거나, 단어가 하나 더 붙었거나, 다르지만 그럴듯한 TLD입니다. 작은 휴대폰 화면에서, 급한 마음으로 보면 정상으로 읽힙니다.
도착 페이지는 보통 로그인 화면을 충실하게 복제한 것입니다. 유일하게 정체를 드러내는 곳은 주소창인데, 휴대폰을 급히 보는 사람이 바로 그 주소창을 확인하지 않습니다.
무엇을 할 수 있나
- 주된 행동이 QR 코드인 메일은 의심하세요. 특히 보안, 결제, 계정 인증을 빌미로 삼는 경우엔 더욱 그렇습니다.
- 꼭 스캔해야 한다면, 열기 전에 디코딩된 URL을 읽고, 도메인을 진짜와 한 글자씩 대조하세요.
- "휴대폰으로 스캔하세요"는 공격을 당신의 가장 보호가 약한 화면으로 옮기는 행위로 받아들이고, 그만큼 속도를 늦추세요.
WhiteHat는 SA-03(링크 & 비주얼)에서 QR 코드를 디코딩하고, 그 결과 도메인을 SA-02(인프라)로 검사합니다. 이미지에 숨은 링크도 결국 링크로 — 있는 그대로 — 다뤄집니다.
QR 코드가 들어간 샘플이 있나요? 분석 콘솔에 넣고 SA-03이 목적지를 끄집어내는 걸 지켜보세요.