QR코드 원리와 안전한 사용법 - 피싱 QR 구별하는 법까지

QR코드란 무엇인가?

QR(Quick Response)코드는 1994년 일본 덴소웨이브가 자동차 부품 추적용으로 개발한 2차원 바코드입니다. 일반 1차원 바코드보다 훨씬 많은 데이터를 담을 수 있고, 카메라로 어떤 각도에서든 빠르게 인식되도록 설계됐어요. 스마트폰 보급과 함께 폭발적으로 퍼져 지금은 결제(QR 페이), 로그인(카카오톡 QR 로그인), 식당 메뉴판, 공공 와이파이, 백신 접종 인증, 명함, 광고 등 거의 모든 곳에서 만날 수 있습니다. 사용자는 카메라만 들이대면 되니 편리하지만, 그만큼 무엇이 담겼는지 보지 않고 따라가는 습관이 생겨 보안 위험도 함께 늘었어요. 원리를 알면 더 안전하게 쓸 수 있습니다.

QR이 작동하는 원리

QR코드는 검은색·흰색 픽셀(모듈)의 격자로 데이터를 표현합니다. 코드 네 모서리 중 세 개에 있는 큰 정사각형(파인더 패턴)은 카메라가 코드의 위치와 회전 방향을 빠르게 인식하도록 도와줘요. 그 외 작은 정렬 패턴, 타이밍 패턴, 포맷 정보, 마스크 패턴 등이 모여 신뢰성 있는 인식을 보장합니다. 가장 중요한 특성은 오류 정정(Reed-Solomon) 이에요. QR코드는 일부가 가려지거나 손상되어도 최대 30%까지 복원해 읽을 수 있도록 설계됐습니다. 그래서 QR 한가운데에 로고를 박아도 정상적으로 인식되는 거예요. 코드의 크기는 21x21 픽셀(버전 1)부터 177x177(버전 40)까지 있고, 담는 데이터가 많을수록 큰 버전을 사용합니다.

QR코드에 담을 수 있는 데이터

QR이 담을 수 있는 정보는 텍스트면 무엇이든 가능해요. 가장 흔한 종류는 다음과 같아요.

• URL: 가장 흔한 용도. https://... 형태로 들어가고 스캔 시 브라우저 자동 실행.
• 일반 텍스트: 메모, 안내문 등. 그냥 텍스트가 화면에 표시됨.
• 연락처(vCard): 이름·전화·이메일·주소. 스캔하면 주소록 추가 화면.
• WiFi 접속 정보: WIFI 스킴 형식으로 SSID·비밀번호를 담아 자동 접속.
• 결제 정보: QR 페이는 결제용 토큰이나 가맹점 식별 정보를 담아요.
• 이메일·SMS·전화 시작: mailto:, sms:, tel: 스킴.
• 위치(geo:): 위도/경도. 지도 앱이 자동 실행.

QR 자체는 데이터를 그저 담는 그릇이에요. 어떤 동작이 일어나는지는 스킴과 사용자 OS의 처리에 따라 달라집니다.

QR 피싱 - 가짜 QR로 사용자를 속이는 공격

QR 피싱(quishing) 사례가 빠르게 늘고 있어요. 대표적인 시나리오는 다음과 같습니다.

• 공공장소 QR 위에 가짜 QR 스티커를 덮음: 식당 메뉴판, 주차 결제, 공공 와이파이 안내문 등에 위조 스티커를 붙여 사용자를 가짜 결제 페이지로 유도.
• 이메일·문자 안에 QR 첨부: 텍스트 URL은 의심받지만 QR은 카메라를 들이대도록 유도. 이메일 보안 필터도 QR을 분석하지 못하는 경우가 많음.
• 포스터·전단지 위조: 진짜 회사 광고처럼 디자인된 가짜 QR.

QR을 통해 들어가는 사이트는 진짜 사이트와 거의 똑같이 만들어 로그인 정보·카드번호를 입력하게 합니다. 일단 QR 링크를 따라 들어간 후에는 일반 피싱 사이트와 구별이 어려워, 사전 차단이 더 중요해요.

안전하게 QR을 스캔하는 습관

QR을 안심하고 쓰려면 다음 습관이 도움이 됩니다.

• QR 위에 스티커가 덮여 있는지 확인. 떼어졌거나 두 번 붙은 흔적이 있으면 의심.
• 카메라 미리보기에서 URL 도메인 확인. 카메라 앱은 보통 스캔된 URL을 표시한 뒤 사용자가 누를 때 열림. 누르기 전에 도메인이 익숙한지 봐야 함.
• 결제·로그인 정보 입력 전 도메인 한 번 더 확인. 정식 도메인이 아닌 짧은 변형(예: kakao0.com)이면 즉시 종료.
• 공공장소 QR로 결제하기 전 가맹점 직원에게 확인.
• 이메일·문자의 QR은 더 의심. 정식 회사라면 텍스트 링크나 앱 알림으로 보내는 게 보통이에요.

브라우저의 안전 탐색(Safe Browsing) 같은 기능도 도움이 되지만, 새로 만들어진 피싱 사이트는 등록 전이라 차단되지 않으니 도메인을 직접 확인하는 게 가장 안전합니다.

QR을 생성할 때 주의사항

본인이 QR을 만들어 인쇄·게시하는 입장이라면 다음을 신경 쓰면 좋아요.

• 단축 URL 대신 원본 URL 사용: bit.ly 같은 단축 링크는 사용자가 무엇을 클릭하는지 모르고, 차단되면 QR 전체가 죽음.
• HTTPS 사용: 보안 표준.
• 인쇄 전 반드시 직접 스캔 테스트: 색상·크기·인쇄 화질에 따라 인식 안 될 수 있음.
• 여백(quiet zone) 확보: QR 주변에 흰 여백 4모듈 이상.
• 분실·변경 가능한 동적 QR 활용: 광고·인쇄물에는 동적 QR(redirect 가능)을 쓰면 나중에 도착지 변경 가능.

도구로 QR 만들기

툴박스의 QR코드 생성기는 URL·텍스트·연락처·WiFi 정보를 입력하면 즉시 QR을 생성해 다운로드할 수 있어요. 명함·전단지·웹사이트 안내·이벤트 페이지 등 다양한 곳에 활용할 수 있고, 색상·크기 조정도 가능합니다. 스캔하는 입장에서는 위에서 살펴본 안전 습관을, 만드는 입장에서는 명확하고 검증 가능한 URL을 사용하는 것이 핵심이에요. QR은 편리한 만큼 신뢰성을 같이 관리해야 진짜 가치가 있습니다.