QR 코드에는 어떤 데이터가 포함되나요?
QR 코드는 다양한 유형의 민감한 정보를 인코딩할 수 있습니다: • URL — 비공개이거나 내부용일 수 있는 웹사이트 주소 • WiFi 자격 증명 — 네트워크 이름과 비밀번호가 평문 그대로 포함됨 • 연락처 카드(vCard) — 이름, 전화번호, 이메일, 소속 정보 • 미리 작성된 제목과 본문이 포함된 이메일 주소 • 전화번호와 SMS 메시지 이 모든 데이터가 QR 코드의 패턴 안에 직접 인코딩되어 담깁니다. QR 코드 피싱(Quishing)은 최근 빠르게 급증하는 사이버 위협입니다. 2023년 미국 FBI는 QR 코드를 이용한 사기 신고가 전년 대비 크게 증가했다고 경고했습니다. 악의적인 행위자들이 합법적인 QR 코드 위에 가짜 QR 코드 스티커를 덧붙여 사용자를 피싱 사이트로 유도하는 사례가 주차 미터기, 레스토랑 메뉴판, 공공 안내판 등에서 끊임없이 보고되고 있습니다. 일부 QR 코드 생성 서비스는 직접 URL 대신 자체 단축 URL을 통해 리다이렉트하는 방식을 사용합니다. 이 경우 생성한 QR 코드가 해당 서비스에 종속되어, 그 서비스가 종료되거나 정책을 변경하면 QR 코드가 작동하지 않거나 의도치 않은 사이트로 연결될 수도 있습니다. QR 코드는 단 한 번의 스캔으로 URL 접속, 앱 설치, 결제, 연락처 저장 등 다양한 동작을 즉시 실행할 수 있어 편리하지만, 그만큼 악용될 가능성도 높습니다. 스캔 한 번으로 발생할 수 있는 보안 위협을 항상 염두에 두세요.
온라인 QR 생성기의 위험
수많은 온라인 QR 생성기에는 사용자가 미처 알아채기 어려운 숨겨진 위험이 도사리고 있습니다: • WiFi 비밀번호가 그대로 서버로 전송됩니다 • 입력한 연락처 정보가 기록되고, 나아가 판매될 수 있습니다 • 일부 서비스는 자사 서버를 경유하는 추적 URL을 몰래 삽입합니다 • 생성한 QR 코드가 일정 기간 후 만료되거나 나중에 임의로 수정될 수 있습니다 • QR 사용 패턴이 민감한 비즈니스 정보를 외부에 드러낼 수 있습니다 • 생성 이후 데이터가 실제로 삭제되는지 보장하지 않습니다 실제 위험 시나리오를 보면, 회사 사무실의 WiFi QR 코드를 온라인 생성기로 만들 경우 WiFi 이름(SSID)과 비밀번호가 해당 서버에 그대로 기록됩니다. 만약 그 서버가 해킹당하거나 내부 직원이 이 데이터에 접근하면, 회사 내부 네트워크가 통째로 외부에 노출될 수 있습니다. 추적 QR 코드의 문제도 심각합니다. 많은 마케팅용 QR 생성 서비스는 스캔 통계를 제공하기 위해 모든 스캔을 자사 서버를 거쳐 라우팅합니다. 이는 QR 코드를 만든 사람에게는 유용하지만, 정작 코드를 스캔한 사용자의 위치, 기기, 스캔 시간 같은 개인정보가 제3자 서버에 수집된다는 것을 의미합니다. 카페나 식당에서 메뉴 QR 코드를 스캔하는 순간, 본인의 위치와 시간이 외부 서버에 기록될 수 있습니다.
PrivaQR이 데이터를 보호하는 방법
PrivaQR은 qrcode.js 라이브러리를 사용하여 모든 QR 코드를 브라우저 안에서 완전히 생성합니다: • 네트워크 요청이 전혀 없음 — 모든 생성 과정이 JavaScript로 로컬에서 처리됩니다 • WiFi 비밀번호가 기기를 떠나지 않습니다 • 연락처 정보가 외부로 새지 않고 비공개로 유지됩니다 • 추적 URL을 삽입하지 않음 — QR 코드가 영구적이고 순수하게 유지됩니다 • 맞춤 색상, 오류 보정, 크기 설정 — 이 모든 것이 클라이언트 측에서 처리됩니다 • 서버와의 어떤 상호작용도 없이 PNG 또는 SVG로 다운로드할 수 있습니다 온라인 QR 생성기와 PrivaQR(브라우저 기반)을 비교해 보면 다음과 같습니다: • 온라인 생성기: 스캔 통계 대시보드, 내용을 나중에 수정할 수 있는 다이내믹 QR, 팀 협업 기능 제공 / 그러나 데이터가 서버로 전송되고, 구독 비용이 발생하며, 서비스가 종료되면 QR 코드가 무효화될 위험이 있습니다 • PrivaQR: 완전한 데이터 프라이버시 보호, 영구적인 QR 코드, 무료, 오프라인 작동 / 다만 스캔 통계 기능과 다이내믹 QR 기능은 제공하지 않습니다 오류 보정 수준 선택 가이드: • L(7% 복원): 깨끗한 환경, 화면 표시용 • M(15% 복원): 일반적인 인쇄물 • Q(25% 복원): 로고가 포함되거나 약간 손상될 수 있는 환경 • H(30% 복원): 야외 전시, 공장 환경, 또는 QR 코드 중앙에 로고를 삽입할 때
QR 코드 안전 팁
1. WiFi QR 코드를 만들 때는 절대 온라인 생성기를 사용하지 마세요 — 비밀번호가 서버에 그대로 노출됩니다 2. 출처를 알 수 없는 QR 코드를 스캔하기 전에 미리보기 URL을 확인하고, 예상한 도메인이 맞는지 검증하세요 3. 인쇄용 QR 코드에는 높은 오류 보정 수준(Q 또는 H)을 사용하세요 4. 코드를 배포하기 전에 여러 종류의 스캐너 앱으로 QR 코드가 잘 읽히는지 테스트하세요 5. 민감한 데이터를 다룰 때는 PrivaQR 같은 브라우저 기반 생성기를 사용하세요 6. 공공장소에 붙어 있는 QR 코드를 조심하세요 — 악성 사이트로 리다이렉트될 수 있습니다 7. QR 코드 스캔 안전 수칙: - 스캔 전: URL 미리보기 기능을 지원하는 스캐너 앱을 사용하세요 - 스캔 후: 연결된 URL이 예상한 도메인이 맞는지 주소창에서 확인하세요 - 의심스러우면: 브라우저에 주소를 직접 입력하거나 공식 앱을 사용하세요 - 금융 거래: QR 코드로 결제할 때는 수취인 정보와 금액을 반드시 다시 확인하세요 8. QR 코드가 포함된 안내문을 공공장소에 게시할 때는, 누군가 그 위에 가짜 QR 스티커를 덧붙이지 않았는지 정기적으로 점검하세요. 특히 오래 설치되어 있던 QR 코드는 주기적인 검증이 꼭 필요합니다. 9. QR 코드를 업무 용도로 활용할 때 지켜야 할 추가 보안 수칙: - 사내 문서나 시스템 접근용 QR 코드는 반드시 브라우저 기반 도구로 생성하세요 - 민감한 URL을 QR 코드로 공유할 때는 링크에 인증 토큰을 추가하는 방식을 고려하세요 - QR 코드로 연결되는 페이지에는 반드시 HTTPS를 사용하세요 - 행사나 캠페인용 QR 코드에는 유효 기간을 설정하고, 종료 후에는 비활성화하세요 10. 스마트폰 카메라의 QR 스캔 기능을 사용할 때는, 스캔 직후 화면에 표시되는 URL 미리보기를 항상 확인하는 습관을 들이세요. 단 1초의 확인이 피싱 사이트 방문을 막아 줄 수 있습니다.