earticle

영어

This study explores the concept, current state, crime mechanisms, and applications of quishing, a rising cybercrime exploiting QR codes, which has grown with their widespread use post-COVID-19. Quishing manipulates user trust to steal data or spread malware. Using routine activity theory, lifestyle/exposure theory, and social engineering techniques, the study examines factors enabling such crimes. At the macro level, routine activity theory highlights a motivated offender, a suitable target, and the absence of a capable guardian. Mid-level insights from lifestyle/exposure theory emphasize exposure, accessibility, attractiveness, and lack of protection. Micro-level analysis reveals attackers’ use of psychological manipulation, such as trust-building, urgency creation, and social proof, to exploit victims’ cognitive vulnerabilities. Findings confirm that quishing combines technical and psychological exploitation. Solutions proposed include enhancing QR security technologies, educating users on safe QR practices, and standardizing QR code creation and reporting mechanisms. These strategies aim to reduce quishing threats and strengthen cybersecurity.

한국어

이 연구는 퀴싱(Quishing)이라는 새로운 피싱 형태의 개념, 현황, 범죄 발생 과정, 그리고 사회 공학적 기법의 적용 메커니즘을 고찰하였다. 퀴싱은 COVID-19 팬데믹 이후 QR코드 사용이 보 편화되면서 급증한 사이버범죄로, 공격자가 사용자의 신뢰를 악용하여 민감한 정보를 탈취하거 나 악성 코드를 전파하는 방식으로 이루어진다. 이 연구는 일상활동이론 및 생활양식/노출이론 과 사회공학적 기법의 메커니즘을 통해 퀴싱 범죄피해의 발생 메커니즘을 분석하였다. 거시적 관점에서 일상활동이론에 따르면, 동기화된 가해자, 적합한 대상, 그리고 유능한 보호자의 부재 라는 세 가지 요소가 범죄 발생의 주요 조건으로 작용한다. 또, 중범위적 관점에서는 생활양식/ 노출이론의 핵심 개념인 노출, 접근성, 유인성, 보호 부재가 퀴싱의 핵심 조건으로 작동할 수 있 다고 보았다. 한편, 이 연구는 미시적 관점에서 사회공학적 기법의 다양한 메커니즘인 신뢰 구 축, 긴급성 조성, 사회적 증거 활용을 통해 공격자가 피해자를 심리적으로 조작하고, 피해자의 인지적 한계를 활용하여 범죄를 유발하는 과정을 상세히 다루었다. 그 결과, 퀴싱 범죄는 사용자 의 심리적 취약성과 기술적 특성을 동시에 악용하는 복합적 기법임을 확인하였다. 이러한 문제 를 해결하기 위해서는 기술전략 측면에서 QR코드 스캐너 및 리디렉션 과정에 대한 보안 기술 보급, 사용자 교육 측면으로, 안전한 QR코드 이용 습관을 위한 교육과 실습, 정책개선 측면에서 QR코드 생성, 사용 및 배치에 대한 표준화와 의심스러운 QR코드 신고 플랫폼 신설 등을 제안하였다.