QR코드 결제솔루션의 보안 취약점을 극복한 솔루션이 개발돼 금융업계 이목을 끌고 있다. 급속 확산하고 있는 QR코드 기반 결제서비스 보편화 시기를 앞당길 것으로 기대된다.
사물데이터(DoT) 전문기업 더코더(대표 박행운)가 독자 DoT 기술을 보완해 QR코드 복제를 원천 차단하는 'QR페이 보안솔루션'을 개발했다고 29일 밝혔다.
더코더는 DoT 기술로 QR코드 인쇄단계에서 육안으로 인식할 수 없을 수준의 망점(Dot)을 찍어 QR코드 인증 데이터를 삽입했다. 모든 색상을 256개로 쪼개 221번 청색 출력 시 미세한 222번 청색 망점에 데이터를 넣었다.
박행운 더코더 대표는 “QR코드는 1차원 코드인 바코드보다 많은 정보를 담을 수 있고 쉽게 이용할 수 있어 마케팅, 정보제공을 넘어 최근 결제수단으로 활용 폭이 급속도로 커지고 있다”면서 “하지만 기술 발전에 비례해 범죄수단으로 악용될 가능성도 커졌다”고 말했다.
그는 또 “QR코드에 초미세 보안코드를 심어 등록된 QR코드와 매칭될 경우에만 결제가 진행돼 QR코드 위·변조를 막을 수 있다”면서 “잠상기술을 이용해 코드복제 시 복제검증 문구를 표시하는 인쇄기법도 활용할 것”이라고 덧붙였다.
QR코드 기반 결제방식이 보편화된 중국에서는 QR코드를 활용해 악성앱을 다운로드 받도록 하거나 개인정보를 빼내 휴대폰 결제 시 교묘하게 돈을 탈취하는 신종 금융범죄 '큐싱(Qshing)'이 사회적 문제다. QR코드와 피싱(Phishing) 합성어로 스마트폰으로 스캔하기 전까지 QR코드 안에 어떤 정보가 있는지 눈으로 확인할 수 없다는 취약점을 노린다. 결제 피해는 물론 피싱사이트에 접속돼 악성앱이 설치되면 스마트폰에 있는 개인정보가 모두 빠져나갈 수도 있다.
대표적 큐싱 방식은 점포의 정상 QR코드를 다른 QR코드로 바꿔치기하거나 기존 QR코드 위에 다른 코드를 덮는 행위다. 바람잡이가 상점에서 현금결제로 점원 시선을 끌 때 나머지 한명이 다른 QR코드를 덮어씌우는 수법이다. QR결제 시 점원은 지불정보를 받지 못하지만 구매자 휴대폰에는 정상처리 정보가 표시돼 돈이 범죄자 계좌로 빠져 나간다.
경찰대 산하 치안정책연구소가 내놓은 '치안전망 2019'에 따르면 국내 피싱범죄가 2018년 3분기까지 전년 동기 대비 3배 이상 발생했다. 스마트폰 등 모바일 환경에서 사이버 금융범죄 위협은 계속 증가할 것으로 전망된다. 국내 오프라인 매장 QR결제는 대부분 소액이기 때문에 상점 관계자가 영업시간 중 QR코드를 철저히 관리하는 것이 현실적으로 어렵다.
박 대표는 “중국에서도 보안, 안전성 문제로 QR 결제 한도를 제한하거나 각 점포에 부착된 QR코드에 위조방지 덮개를 사용하는 등 규제를 시행하고 있다”면서 “큐싱을 근본적으로 예방하지 못해 위·변조가 횡행하고 있다. 중국 큐싱피해 사례를 참고해 각별한 예방대책을 마련하는 것이 시급하다”고 지적했다.
이준희기자 jhlee@etnews.com
