QR 코드에는 실제로 무엇이 담길 수 있나요?
QR 코드는 본질적으로 텍스트 문자열을 기계가 읽을 수 있는 사각형 패턴 형식으로 인코딩한 것입니다. 주요 용도로는 URL(가장 일반적), 일반 텍스트, 연락처 정보(vCard), Wi-Fi 접속 정보, 캘린더 일정, 결제 정보 등이 있습니다. 보안 위협 측면에서 보면, QR 코드를 스캔하는 행위는 사실상 그 안에 담긴 URL을 직접 손으로 입력하는 것과 같아서 해당 링크로 곧바로 이동하게 됩니다. 이를 악용한 큐싱(QRishing, QR 피싱) 공격은 악성 QR 코드로 사용자를 진짜처럼 위장한 가짜 로그인 페이지로 유도해 정보를 탈취합니다. 반대로 QR 코드를 만드는 입장에서는, 온라인 QR 생성 서비스를 이용할 경우 인코딩하는 URL이나 데이터가 그대로 해당 서비스의 서버로 전송됩니다 — 개인 정보나 비밀번호 같은 민감한 정보를 다룰 때는 이 점이 심각한 문제가 될 수 있습니다.
QR 코드를 안전하게 사용하기
- 1출처를 알 수 없는 QR 코드를 스캔할 때는, 곧바로 링크를 여는 대신 전체 URL을 먼저 화면에 보여 주는 QR 스캐너를 사용하세요. 스캔하자마자 자동으로 브라우저를 열어 버리는 방식의 스캐너는 사용하지 마세요 — 어디로 연결되는지 목적지를 반드시 먼저 직접 확인하는 습관이 안전합니다.
- 2QR 코드는 가급적 로컬에서 생성하세요. PrivaQR은 모든 QR 코드를 사용자의 브라우저 안에서 완전히 만들어 내며 — 인코딩하는 데이터(URL, 연락처 정보, Wi-Fi 비밀번호 등)가 기기를 절대 벗어나지 않습니다. 비밀번호처럼 민감한 콘텐츠를 QR로 만들 때 이 점은 매우 중요합니다.
- 3명함, Wi-Fi 공유, 결제처럼 중요한 용도에는, 사용자가 내용을 직접 확인하고 그대로 재현할 수 있는 정적(static) QR 코드를 사용하세요. 모든 스캔을 자사 서버를 통해 라우팅하는 제3자 동적(dynamic) QR 서비스는 피하는 것이 좋습니다 — 사용자가 직접 통제할 수 없는 주소로 연결되거나, 나중에 의도와 다른 사이트로 바뀔 수 있기 때문입니다.
QR 코드 보안 팁
공공장소에서 기존 코드 위에 누군가 새로 덧붙인 것처럼 보이는 QR 코드는 특히 의심해야 합니다 — 이는 진짜 코드 위에 가짜 스티커를 붙이는 흔한 물리적 피싱 공격 수법입니다. Wi-Fi QR 코드(비밀번호가 평문 그대로 인코딩됨)는 직접 만들고, 신뢰할 수 있는 제한된 사람에게만 공유하세요. Wi-Fi 비밀번호를 변경했다면 이전에 만든 QR 코드도 반드시 새것으로 교체해야 합니다. 생성한 QR 코드 이미지를 별도로 저장해 두면, 동적 QR 서비스가 만료되거나 변경되는 상황에서도 원본 코드를 계속 사용할 수 있어 안전합니다.