QR코드 피싱(큐싱) 피해 시 대응 절차와 신고 방법 총정리

최근 QR코드를 이용한 피싱 범죄(큐싱, Qshing)가 급증하면서, 많은 분들이 피해 대응 절차를 어려워하고 있습니다. 오늘은 큐싱이 무엇인지, 피해를 당했을 때 어떤 순서로 대응해야 하는지, 그리고 사전에 예방할 수 있는 방법까지 체계적으로 안내해 드리겠습니다.

큐싱(QR코드 피싱)이란 무엇인가

큐싱은 QR코드(Quick Response Code)와 피싱(Phishing)의 합성어입니다. 공격자가 조작된 QR코드를 유포하여 이를 스캔한 피해자의 스마트폰에 악성 앱을 설치하거나, 가짜 결제 페이지로 유도해 금융정보를 탈취하는 범죄 수법입니다.

실무에서 자주 접하는 큐싱 유형은 크게 세 가지입니다.

첫째, 공유 자전거나 주차 위반 딱지를 가장한 가짜 QR코드 부착

둘째, 택배 수령 확인, 소상공인 지원금 안내 등 문자 내 QR코드 삽입

셋째, 오프라인 매장의 정상 QR코드 위에 가짜 QR 스티커를 덧붙이는 방식

큐싱은 형법상 사기죄(형법 제347조), 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 위반, 그리고 전자금융거래법 위반 등 다수 법령에 의해 처벌됩니다. 가해자는 사안에 따라 10년 이하의 징역 또는 수천만 원의 벌금형을 받을 수 있습니다.

피해 발생 시 긴급 대응 절차

큐싱 피해가 의심되는 순간부터 시간이 곧 돈입니다. 다음 단계를 순서대로, 가능한 한 빠르게 진행해야 피해를 최소화할 수 있습니다.

즉시 인터넷 연결 차단 및 악성 앱 삭제

QR코드 스캔 후 앱이 설치되었거나 의심스러운 페이지에 접속했다면, 곧바로 휴대폰의 Wi-Fi와 모바일 데이터를 끕니다. 이후 최근 설치된 앱 목록을 확인하여 낯선 앱을 삭제합니다. 직접 삭제가 어려우면 안전 모드(Safe Mode)로 재부팅 후 삭제하십시오.

소요시간: 즉시 (5분 이내) 비용: 없음

금융 계좌 지급정지 요청

금융정보(계좌번호, 카드번호, 비밀번호 등)가 노출되었다면, 해당 금융기관 고객센터에 전화하여 계좌 지급정지를 요청합니다. 24시간 운영되는 금융감독원 보이스피싱 지킴이(1332) 또는 경찰청 사이버수사국(182)에도 피해 신고와 함께 지급정지를 요청할 수 있습니다.

은행 콜센터: 각 은행 대표번호 (24시간 사고 접수 가능)
금융감독원: 1332번
경찰청: 112 또는 182번

소요시간: 당일 (30분~1시간) 비용: 없음

경찰 사이버수사대 정식 신고

긴급 조치를 마쳤다면, 경찰청 사이버범죄 신고시스템(ECRM, ecrm.police.go.kr)을 통해 온라인 신고하거나 가까운 경찰서 사이버수사팀에 방문 신고합니다. 이때 아래 자료를 미리 준비하면 수사 착수가 빨라집니다.

준비 서류 및 증거

QR코드 스캔 화면 스크린샷
악성 앱 설치 내역 캡처
피해 금액이 확인되는 거래 내역서
가짜 사이트 URL 기록
문자 메시지(QR코드 수신 문자) 원본

소요시간: 접수 당일 / 수사 1~3개월 비용: 없음

개인정보 유출 여부 확인 및 추가 보호 조치

한국인터넷진흥원(KISA)이 운영하는 개인정보 노출 확인 서비스(privacy.kisa.or.kr)에서 자신의 개인정보가 도용되었는지 점검합니다. 아울러 다음 조치를 병행하십시오.

통신사 소액결제 차단 요청 (114 또는 각 통신사 앱)
계좌 비밀번호 및 공인인증서(공동인증서) 재발급
주요 포털/금융 사이트 비밀번호 일괄 변경
명의도용 방지 서비스 가입 (msafer.or.kr에서 가입 제한 설정)

소요시간: 1~2일 비용: 대부분 무료

피해금 환급 절차 진행

지급정지 후, 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법(통신사기피해환급법)에 따라 피해금 환급을 신청할 수 있습니다. 지급정지 요청 후 금융회사가 사기 이용 계좌에 남아 있는 잔액을 확인하며, 채권소멸 절차를 거쳐 피해자에게 환급합니다.

환급 절차 요약

지급정지 신청 (완료 상태)
금융회사의 채권소멸 공고 (2개월간 관보 게재)
이의제기 기간 종료 후 환급 결정
피해자 계좌로 환급금 입금

소요시간: 약 2~4개월 비용: 없음 필요서류: 피해구제 신청서, 사건사고 사실확인원

큐싱 피해의 법적 구제 수단

형사 신고 외에도 피해자가 활용할 수 있는 법적 수단이 있습니다.

첫째, 민사상 손해배상 청구입니다. 가해자가 특정되면, 사기 행위로 인한 재산적 손해와 정신적 손해(위자료)를 청구할 수 있습니다. 다만 범인이 해외에 있거나 특정이 어려운 경우가 많아, 실무에서는 형사 수사 결과를 기반으로 민사 소송을 진행하는 것이 일반적입니다.

둘째, 금융분쟁조정 신청입니다. 금융기관의 보안 시스템 취약점으로 피해가 확대된 경우, 금융감독원 금융분쟁조정위원회에 조정을 신청할 수 있습니다. 전자금융거래법 제9조에 따르면, 접근매체(공인인증서 등)의 위변조로 인한 사고 시 금융기관이 일정 부분 책임을 질 수 있습니다.

큐싱 피해 예방을 위한 핵심 수칙

사후 대응 못지않게 사전 예방이 중요합니다. 상담 현장에서 보면, 아래 수칙을 알고 있었더라면 피해를 막을 수 있었던 사례가 상당수입니다.

출처 불명의 QR코드를 스캔하지 않습니다. 길거리, 우편물, 문자에 포함된 QR코드는 반드시 발급 기관을 확인하십시오.
QR코드 스캔 시 연결되는 URL을 먼저 확인합니다. 대부분의 스마트폰 카메라는 스캔 결과 URL을 미리 보여줍니다. 공식 도메인이 아니면 접속하지 마십시오.
앱 설치를 유도하면 100% 의심합니다. 정상적인 QR코드 결제는 앱 추가 설치를 요구하지 않습니다.
스마트폰 보안 업데이트를 최신 상태로 유지합니다.
소액결제 한도를 사전에 제한합니다. 통신사 고객센터(114)를 통해 월 한도를 0원 또는 소액으로 설정하면 피해를 최소화할 수 있습니다.

큐싱 범죄는 기술적 수법이 날로 정교해지고 있습니다. 2023년 기준 QR코드 관련 피싱 신고 건수는 전년 대비 약 60% 이상 증가한 것으로 알려져 있으며, 피해 금액도 건당 수십만 원에서 수천만 원까지 다양합니다. 피해 초기 30분 이내에 지급정지를 요청하면 환급 가능성이 크게 높아지므로, 의심 상황이 발생하면 망설이지 말고 즉각 대응하는 것이 가장 중요합니다.

👤

조희연 변호사의 코멘트

실제로 큐싱 피해 사건을 다루면서 느끼는 점은, 초기 대응 속도가 피해 회복 가능성을 결정한다는 것입니다. QR코드를 스캔한 직후라도 즉시 인터넷을 차단하고 지급정지를 요청하면 피해금을 상당 부분 돌려받을 수 있습니다. 증거 확보나 법적 절차에 어려움을 느끼신다면 가능한 빨리 전문가의 도움을 받으시길 권합니다.

이 글의 변호사