구글 최신 스캠 경고 공개, QR·가짜 로그인·경찰 사칭까지 한 번에 짚었다

구글이 8일 공개한 최신 스캠 경고는 단순히 “사기 조심하세요” 수준이 아니었습니다. QR 피싱, 세션 쿠키를 노리는 가짜 로그인, 캘린더 초대 안에 들어온 결제 유도, 가짜 코인 수익 약속, 경찰 사칭까지 최근 실제로 많이 보이는 흐름을 하나로 묶어 설명했습니다. 독자 입장에서는 기술 용어보다도, 내가 평소 믿던 화면과 연락 경로가 그대로 악용될 수 있다는 점을 기억하는 편이 더 중요합니다.

이번 경고에서 가장 먼저 볼 부분

구글은 이번 문서에서 가장 먼저 Adversary-in-the-Middle(AITM)와 Quishing(QR 코드 피싱)을 짚었습니다. 겉으로는 정상 로그인 화면처럼 보여도, 중간에서 비밀번호와 세션 쿠키를 가로채면 다단계 인증을 통과한 뒤의 접속 상태까지 빼앗길 수 있다는 설명입니다.

여기서 중요한 건 “알림 안의 링크를 눌러 들어간 로그인” 자체를 덜 믿어야 한다는 점입니다. 메일, 캘린더 초대, 문자, 메신저 어느 쪽에서 들어왔든 로그인이 필요하다는 말이 보이면 주소를 직접 치고 들어가는 습관이 가장 현실적인 방어선입니다.

왜 QR·캘린더 초대가 더 까다로운가

이번 경고에는 가짜 갱신 안내를 캘린더 초대 안에 넣거나, 문서 안에 “보이지 않는 페이지”를 심어 악성 안내를 숨기는 방식도 포함됐습니다. 사용자 입장에서는 브라우저 주소창보다 익숙한 서비스 안쪽 화면을 먼저 믿기 쉬워서, 전통적인 메일 피싱보다 더 자연스럽게 속아 넘어갈 수 있습니다.

구글은 이런 세션 탈취형 공격에 대비해 Device Bound Session Credentials(DBSC) 같은 방어도 강화하고 있다고 설명했습니다. 다만 기술 보호가 있다고 해도, 예기치 않은 QR 코드나 초대 링크를 개인 휴대폰으로 바로 여는 행동을 줄이는 편이 여전히 중요합니다.

돈을 재촉하는 말투는 거의 같은 방향으로 흐른다

구글이 함께 묶은 다른 사례들도 결은 비슷합니다. AI를 섞은 가상자산 투자 미끼, 모바일 환경에서 보이는 급한 결제 유도, 경찰·기관 사칭은 모두 지금 바로 보내야 한다, 지금 바로 깔아야 한다, 지금 바로 인증해야 한다는 식으로 사용자를 서두르게 만듭니다.

그래서 이번 경고를 읽고 바로 적용할 만한 기준은 단순합니다. 급한 돈 이야기와 로그인 요구가 함께 오면 일단 멈추기, 공식 앱이나 즐겨찾기한 공식 주소에서만 다시 확인하기, 메일/초대/메신저에 적힌 전화번호를 그대로 누르지 않기입니다. 이 세 가지만 지켜도 꽤 많은 함정을 한 번에 줄일 수 있습니다.