- 제안접수
2024.11.28. - 제안분류 완료
2024.11.28. - 50공감 투표 중
2024.12.28. - 부서검토
- 부서답변
- 요청전
공공기관 QR코드의 해킹방지 방안을 만들자.
스크랩 공유첨부파일 고지서모형.png (0.19 MB)
이 * * 2024.11.28.
시민의견 : 0
정책분류세금
1. QR코드해킹(큐싱)
우선 앞면의 고지서에서 QR코드를 입력하기 바란다. 그럼, 고지서에 원래 존재해야 할 납부에 대한 설명사이트가 아니라, “네이버”로 이동하는 걸 알 수 있을 것이다. 이 방법은 중국에서 최근 유행하는 QR코드 해킹의 방법 중에 하나다. 입력됐던 QR코드를 자신이 만든 QR코드로 덮는 방법이다. 그리 어렵지 않고, 시간도 얼마 걸리지 않는 간단한 방법이다.
중국은 금전거래를 바로 이 QR코드로 해서, 금전거래를 위한 의도된 계좌가 아니라, 해킹을 시도한 사람의 계좌로 입금하는 방법에 이용되기도 하고, 핸드폰의 금융기록등을 해킹하는 해킹툴을 받게 만들기도 한다.
만약, 지금의 고지서와 같이 공적인 기관에서 발부하는 고지서등이라면 사람들은 의심하지 않고, 그 QR코드를 입력하고, 이후에 여러 과정들에 대해서 신뢰하여 아무 생각없이 하라는 대로 입력하게 된다면, 자기 금융정보등이 빼앗기게 되어, 엄청난 피해를 입게 된다.
사람은 누구나 실수를 한다. 게다가, 신뢰하는 고지서에 있는 QR코드라면 의심하지 않고 그냥 하라는 대로 입력하는 경우가 허다하다.
이전에 공적인 사이트라고 착각해서, 공적 정책을 소개하는 사이트의 QR코드를 입력하고 그냥 하라는 대로 따라하다가 이상한 사이트에 가입할 뻔 했었다. 사람은 흔히 공신력을 맹신하게 되고, 그걸 신뢰하다보니 확인하는 작업을 가볍게 여긴다.
정통부에서는 이 피해에 대해서 그저 사후 피해에 대한 대책만 세웠을 뿐, 사전 대안이나, QR코드해킹을 막을 수 있는 방안은 전무한 상태다. 그저 본인들이 제대로 확인하고 이에 대해서 신중하게 작업을 하는 방법 밖에 없는 상태다.
단순히 의심스러운 QR코드는 입력하지 않는다고 해도, 이렇게 QR코드를 위변조를 해버리면 방법 자체가 없다.
2. 큐싱을 막을 방법-공적 QR코드 프로토콜과 어플.
그렇다면, 과연 큐싱을 막을 수 없는 걸까? 사전에 막을 수 있다면, 이후에 벌어질 고지서등의 피해를 사전에 막을 수 있다. 게다가, 공신력 있는 고지서등이 피해를 입는다면, 그 영향력은 막대하고, 이후에 QR코드를 통해 대국민 서비스를 하는데 소극적으로 될 수 밖에 없다.
그걸 해결할 방법으로 프로토콜을 제안한다. QR코드를 입력하면 그냥 그걸로 정보에 바로 접속하는 것이 아니라, 정보입력절차를 더하고, 이에 대해서 국민들에게 이런 절차로 운영되는 걸 인식시키는 QR코드 사용법을 새로 만드는 것이다.
QR코드를 입력하면, 핸드폰의 보안과 연동해서 지문등을 통해서 본인 확인이라는 절차를 더하고, 이런 절차에 대해서 국민들에게 확인시키고 각인시켜, 큐싱을 막을 수 있는 사전적인 장벽을 만들고, 그에 따라 국민들이 이런 절차가 없는 공적인 QR코드 서비스등은 신뢰하지 않게 하는 것이다.
모든 공적인 절차, 즉 프로토콜을 둠으로서 해킹에 대한 사전적인 장벽을 두고, 이를 국민들에게 각인시켜 헤킹을 막을 하나의 수단을 강구하는 것이다.
공적인 QR코드는 우선 입력을 하면 그에 따라 비밀번호등의 단말이나, 휴대폰의 보안기술을 이용한 지문등의 생체 정보 입력등의 절차를 추가하고, 이를 국민들에게 공적인 QR코드 사용때는 이런 절차가 있음을 인식 시키고, 그것이 하나의 절차화 즉, 프로토콜로서 작용한다면, 의심스러운 QR코드를 걸러내는 1차원적인 방법이라고 하겠다.
공적인 QR코드 입력을 위한 전용어플을 만들어 이 전용프로토콜을 수행할 수 있게 해야 할 것이다. 즉, 국가기관이 제공하는 QR코드는 아무거나 쓸 수 없고, 전용어플을 써야 하며, 그걸 통해서 간단한 인증이라는 보안절차를 거쳐야 한다는 걸, 국민들이 인식하게 만드는 것도 공적 QR코드 어플을 만드는 것 못지 않게 중요하다.
이 글에서 새로운 제안이 떠오르셨나요?
유사 제안 바로하기