QR 코드에는 어떤 데이터가 포함되나요?
QR 코드는 다양한 유형의 민감한 정보를 인코딩할 수 있습니다: • URL — 비공개이거나 내부용일 수 있는 웹사이트 주소 • WiFi 자격 증명 — 네트워크 이름과 비밀번호가 평문 그대로 포함됨 • 연락처 카드(vCard) — 이름, 전화번호, 이메일, 소속 정보 • 미리 작성된 제목과 본문이 포함된 이메일 주소 • 전화번호와 SMS 메시지 이 모든 데이터가 QR 코드의 패턴 안에 직접 인코딩되어 담깁니다. QR 코드 피싱(Quishing)은 최근 빠르게 급증하는 사이버 위협입니다. 2023년 미국 FBI는 QR 코드를 이용한 사기 신고가 전년 대비 크게 증가했다고 경고했습니다. 악의적인 행위자들이 합법적인 QR 코드 위에 가짜 QR 코드 스티커를 덧붙여 사용자를 피싱 사이트로 유도하는 사례가 주차 미터기, 레스토랑 메뉴판, 공공 안내판 등에서 끊임없이 보고되고 있습니다. 일부 QR 코드 생성 서비스는 직접 URL 대신 자체 단축 URL을 통해 리다이렉트하는 방식을 사용합니다. 이 경우 생성한 QR 코드가 해당 서비스에 종속되어, 그 서비스가 종료되거나 정책을 변경하면 QR 코드가 작동하지 않거나 의도치 않은 사이트로 연결될 수도 있습니다. QR 코드는 단 한 번의 스캔으로 URL 접속, 앱 설치, 결제, 연락처 저장 등 다양한 동작을 즉시 실행할 수 있어 편리하지만, 그만큼 악용될 가능성도 높습니다. 스캔 한 번으로 발생할 수 있는 보안 위협을 항상 염두에 두세요.
온라인 QR 생성기의 위험
수많은 온라인 QR 생성기에는 사용자가 미처 알아채기 어려운 숨겨진 위험이 도사리고 있습니다: • WiFi 비밀번호가 그대로 서버로 전송됩니다 • 입력한 연락처 정보가 기록되고, 나아가 판매될 수 있습니다 • 일부 서비스는 자사 서버를 경유하는 추적 URL을 몰래 삽입합니다 • 생성한 QR 코드가 일정 기간 후 만료되거나 나중에 임의로 수정될 수 있습니다 • QR 사용 패턴이 민감한 비즈니스 정보를 외부에 드러낼 수 있습니다 • 생성 이후 데이터가 실제로 삭제되는지 보장하지 않습니다 실제 위험 시나리오를 보면, 회사 사무실의 WiFi QR 코드를 온라인 생성기로 만들 경우 WiFi 이름(SSID)과 비밀번호가 해당 서버에 그대로 기록됩니다. 만약 그 서버가 해킹당하거나 내부 직원이 이 데이터에 접근하면, 회사 내부 네트워크가 통째로 외부에 노출될 수 있습니다. 추적 QR 코드의 문제도 심각합니다. 많은 마케팅용 QR 생성 서비스는 스캔 통계를 제공하기 위해 모든 스캔을 자사 서버를 거쳐 라우팅합니다. 이는 QR 코드를 만든 사람에게는 유용하지만, 정작 코드를 스캔한 사용자의 위치, 기기, 스캔 시간 같은 개인정보가 제3자 서버에 수집된다는 것을 의미합니다. 카페나 식당에서 메뉴 QR 코드를 스캔하는 순간, 본인의 위치와 시간이 외부 서버에 기록될 수 있습니다.
PrivaQR이 데이터를 보호하는 방법
PrivaQR은 qrcode.js 라이브러리를 사용하여 모든 QR 코드를 브라우저 안에서 완전히 생성합니다: • 네트워크 요청이 전혀 없음 — 모든 생성 과정이 JavaScript로 로컬에서 처리됩니다 • WiFi 비밀번호가 기기를 떠나지 않습니다 • 연락처 정보가 외부로 새지 않고 비공개로 유지됩니다 • 추적 URL을 삽입하지 않음 — QR 코드가 영구적이고 순수하게 유지됩니다 • 맞춤 색상, 오류 보정, 크기 설정 — 이 모든 것이 클라이언트 측에서 처리됩니다 • 서버와의 어떤 상호작용도 없이 PNG 또는 SVG로 다운로드할 수 있습니다 온라인 QR 생성기와 PrivaQR(브라우저 기반)을 비교해 보면 다음과 같습니다: • 온라인 생성기: 스캔 통계 대시보드, 내용을 나중에 수정할 수 있는 다이내믹 QR, 팀 협업 기능 제공 / 그러나 데이터가 서버로 전송되고, 구독 비용이 발생하며, 서비스가 종료되면 QR 코드가 무효화될 위험이 있습니다 • PrivaQR: 완전한 데이터 프라이버시 보호, 영구적인 QR 코드, 무료, 오프라인 작동 / 다만 스캔 통계 기능과 다이내믹 QR 기능은 제공하지 않습니다 오류 보정 수준 선택 가이드: • L(7% 복원): 깨끗한 환경, 화면 표시용 • M(15% 복원): 일반적인 인쇄물 • Q(25% 복원): 로고가 포함되거나 약간 손상될 수 있는 환경 • H(30% 복원): 야외 전시, 공장 환경, 또는 QR 코드 중앙에 로고를 삽입할 때
QR 코드가 유독 악용에 취약한 이유
QR 코드를 일반 링크와 다르게 위험하게 만드는 두 가지 특성이 있습니다. 첫째, 사람이 읽을 수 없습니다 — 보기만 해서는 정상 목적지와 악성 목적지를 구분할 수 없어서, 진짜 코드 위에 물리적으로 덧붙인 코드(주차 미터기, 식당 테이블, 택배 안내문 위)가 아무런 경고 없이 당신을 위험한 곳으로 보낼 수 있습니다. 이 “퀴싱”(QR 피싱)은 전 세계 은행과 대중교통을 상대로 보고돼 왔습니다. 둘째, 생성 단계에서 비밀이 새어 나갑니다 — 와이파이 비밀번호나 vCard 속 집 주소 같은 데이터는 생성기에 입력하는 순간 만들어지므로, 서버 기반 생성기는 이미지가 만들어지기도 전에 원본 값을 봅니다. 방어는 구조적이어야 합니다: 비밀이 전송되지 않도록 로컬에서 생성하고, 스캔한 코드는 행동하기 전에 항상 디코딩된 URL을 미리 확인하세요.