Abundera 자사 사이트로 직접 연결되는 HTTPS 링크입니다. 단축 서비스 없음, 리디렉션 없음. 최선의 판정: 정적 변경 가능성과 낮은 목적지 서버 변경 가능성으로 통과.
https://qr.abundera.ai/
퀴싱 방어 · QR + URL + 단축 URL 안전
통과 판정을 받기 전까지 QR을 신뢰하지 마세요.
QR 코드는 낯선 사람이 건네는 봉투와 같습니다. 단축 URL도 마찬가지입니다. bit.ly, t.co, DM의 링크 모두 포함됩니다. 확인하지 않고 열면 자격 증명 피싱 페이지, 개방형 WiFi 덫, 지갑 드레이너 거래, 또는 악성 프로그램을 사이드로드하는 Android 인텐트로 이어질 수 있습니다. 저희는 체인을 추적하고, 목적지를 검사하며, QR 인쇄 후 누가 목적지를 변경할 수 있는지 알려줍니다. 주차 미터 스티커, 전달된 단축 URL, 식당 메뉴, 기업 MFA 전단지가 실제로 안전한지 결정하는 질문입니다.
가입 불필요, 계정 없음 페이로드 저장 없음 카메라 디코딩 로컬 처리 Mac, Windows, iOS, Android 앱 출시 예정
이 도구 공유 · 또는 단축 링크 저장하여 돌아오기
카메라로 QR 코드를 스캔하거나, 이미지를 업로드하거나, 이미지를 붙여넣거나, 디코딩된 텍스트를 붙여넣으세요.
카메라 및 이미지 디코딩이 브라우저에서 처리됩니다. 디코딩된 텍스트만 분석기로 전송됩니다.
스캐너 설정
향상된 디코더 다운로드 중… 0%
스캔 기록
이 기기에만 저장되며 서버로 전송되지 않습니다. 최근 25개 스캔, 오래된 항목은 자동으로 삭제됩니다. 클라우드 동기화 스캔 기록(기기 간, 30일)은 Personal+ 티어 로드맵에 있습니다.
실제 작동 확인
"이 스캔 시도하기"를 탭하여 여기서 실행하거나, 스마트폰 카메라를 QR에 향하면 우리 스캐너를 통해 라우팅되어 스마트폰에 판정이 표시됩니다. 미리 방문할 필요가 없습니다.
최종 목적지에 도달하기 전에 자체 단축 서비스를 통해 라우팅되는 QR입니다. 판정에서 인쇄 후 목적지를 변경할 수 있는 주체가 표시되며, 이는 다른 스캐너가 보여주지 않는 변경 가능성 축입니다.
https://aqr.net/demo-walmart
사용자와 다른 국가에서 확인되도록 보장된 링크입니다(JS가 지역을 감지한 후 대상을 교체합니다). 경유지별 국가 칩을 시연하며, 예상치 못하게 국경을 넘는 체인은 개별 경유지보다 강력한 신뢰 신호입니다.
https://www.bundestag.de/
Google이 Safe Browsing 테스트 픽스처로 특별히 관리하는 URL입니다. Safe Browsing에서 SOCIAL_ENGINEERING으로 분류되며, 실제 피싱 사이트에 연결하지 않고도 평판 집계기와 판정 에스컬레이션이 실제로 작동함을 시연하는 데 유용합니다.
https://testsafebrowsing.appspot.com/s/phishing.html
작동 방식
- 1
디코딩
브라우저가 로컬에서 QR을 디코딩합니다(jsQR). 이미지는 절대 기기를 떠나지 않습니다. 텍스트 페이로드만 저희에게 전송됩니다.
- 2
디스패치
페이로드는 URI 체계, 구조화된 형식 접두사, 또는 콘텐츠 휴리스틱에 따라 48개 분석기 카테고리 중 하나로 분류됩니다. 이 카테고리들은 함께 222개 페이로드 변형을 인식합니다. HTTP URL(수십 개의 호스트별 인식기 포함), WiFi, vCard, 전화, 메일, Android 인텐트, 암호화폐, 콘텐츠 주소 지정, 인라인 데이터, 캘린더, 지리, 블루투스 페어링, Matter 온보딩, EMV 가맹점 결제(PIX, PayNow, PromptPay, UPI 및 30개 이상의 국가 체계), WireGuard 설정, 스마트 건강 카드, eSIM 활성화, WalletConnect 페어링, FIDO 패스키 하이브리드, 하드 차단 체계, 또는 일반 텍스트. 각 카테고리는 전용 분석기로 처리됩니다.
- 3
추적 + 분류
HTTP URL의 경우 우회 서비스(Bitly, Linktree, QR Tiger 및 약 80개)를 통해 리디렉션 체인을 추적하고, 경유지별 중개자를 기록하며, 변경 가능성을 분류합니다(정적 / 동적-단일 / 동적-체인 / 광고-인터스티셜 / 순환). 각 우회 서비스 운영자에게 제어권을 귀속합니다. 동시에 Google Safe Browsing 및 URLhaus를 통해 목적지를 검사합니다.
- 4
통합
페이로드 유형 전반에 걸쳐 불변하는 단일 판정 형식을 구성합니다.
threat_class,mutability,chain,attribution,sub_payloads, 일반 언어disclosure. 부모에 포함된 하위 페이로드(vCard NOTE 필드의 URL, 링크를 포함하는 SSID 등)는 재귀적으로 디스패치됩니다.
URL 전용 도구가 놓치는 것들
URL 클래스 위협 스캐너는 QR이 전달할 수 있는 48개 페이로드 카테고리 중 하나만 다루며, URL 카테고리 내의 단일 인식기에 불과합니다. 저희는 48개 전체에 걸쳐 222개 페이로드 변형을 인식합니다. 아래에서 일부를 확인하세요. 전체 목록과 Tier 2 로드맵은 커버리지 페이지에 있습니다.
리디렉션 체인 및 변경 가능성
모든 경유지를 추적합니다. Bitly + Linktree 체인을 감지합니다. 우회 서비스 운영자를 식별합니다. 인쇄 후 목적지를 변경할 수 있는 당사자를 표시합니다.
WiFi 설정 QR
SSID + 암호화가 파싱 및 정규화됩니다. 개방형 / 취약한-WEP / 숨겨진 네트워크가 플래그 처리됩니다. 유사 문자가 디코딩되어 결과에 유사한 SSID가 표시됩니다.
크립토 지갑 드레이너
체인별 주소 형식 + 체크섬 검증. EVM 함수 선택자 탐지 (approve, setApprovalForAll, permit). Chainabuse 평판 조회.
Matter 스마트홈 커미셔닝
MT: 기반-38 온보딩 페이로드를 디코딩합니다. 벤더 ID + 제품 ID를 추출합니다. "이 기기를 홈 네트워크에 등록합니다"라는 안내 문구를 표시하여 교체된 스티커가 공격자의 네트워크에 몰래 합류하는 것을 방지합니다.
EMV 가맹점 QR 결제 교체
EMVCo MPM / CPM 페이로드(SGQR, PromptPay, PayNow, DuitNow, UPI)를 파싱합니다. CRC 검증 + 가맹점 이름 표시로 스티커 교체 공격(전 세계에서 가장 많이 발생하는 QR 사기)을 탐지합니다.
QR 로그인 계정 탈취
WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub, AWS 기기 코드 QR 로그인 엔드포인트를 인식합니다. QR을 스캔하면 생성자에게 계정 접근 권한이 부여됨을 경고합니다.
오늘은 안전한 QR, 내일은 피싱 페이지
스티커, 메뉴, 전단지에 QR이 인쇄되면 되돌릴 수 없습니다. 따라서 중요한 판정은 단순히 "링크가 지금 안전한가"가 아니라 "잉크가 마른 후 누가 이 링크의 목적지를 변경할 수 있는가"입니다. 그것이 변경 가능성입니다.
정적 QR
walmart.com이 QR 매트릭스에 직접 인코딩됨
목적지가 점 패턴 자체에 담겨 있습니다. 제3자가 목적지를 변경할 수 없습니다. 오늘 스캔하는 것이 1년 후에도 동일하게 스캔됩니다.
동적 QR (위험 요소)
aqr.net/demo-walmart → 단축 서비스 → walmart.com
QR이 단축 URL을 인코딩하고, 단축 서비스 계정 보유자가 스캔 시점에 목적지를 선택하며 30초 만에 바꿀 수 있습니다. 오늘은 안전하지만 내일은 피싱이 될 수 있으며 물리적 스티커는 동일합니다. 체인을 표시하고, 우회 서비스 운영자를 지명하며, 인쇄된 자산이 제약을 받는지 알려줍니다.
요금제
개인 사용 무료, 가입 불필요. 개인, 가족, 팀, 브랜드, 기업 배포를 위한 유료 요금제.
창립 회원 나만의 요금제. 고정됨. 영원히. 유료 티어 34% 할인, 연간 청구, 2026년 9월 1일까지 이용 가능.
네이티브 앱 출시 예정
동일한 엔진으로 macOS, Windows, Linux, iOS, Android에서 네이티브로 실행됩니다. 카메라 스캔은 기기에서 처리되고, 분류 결과는 동일한 엔드포인트로 전송됩니다. abundera.app →
자주 묻는 질문
퀴싱이란 무엇인가요?
퀴싱(Quishing)은 QR 코드 피싱입니다. 공격자가 QR 코드를 인쇄하거나, 스티커로 붙이거나, 이메일 또는 DM으로 전송하면, 스캔 시 자격 증명 수집 페이지, 지갑 드레이너 거래, 개방형 WiFi 덫, 또는 악성 프로그램을 사이드로드하는 Android 인텐트로 연결됩니다. QR 자체는 단순한 이미지이므로 이메일 링크 필터와 브라우저 경고가 피해자의 스마트폰이 목적지를 열기 전까지 이를 감지하지 못합니다. 방어는 스마트폰이 링크를 따르기 전, 스캔 시점에 이루어져야 합니다.
퀴싱은 일반 피싱과 어떻게 다른가요?
세 가지 차이점이 있습니다. 공격 벡터가 물리적 또는 시각적입니다. 주차 미터 QR 위의 스티커, MFA 등록을 가장한 인쇄된 전단지, 밤새 교체된 식당 메뉴 QR 등이 이메일 게이트웨이를 완전히 우회합니다. 피해자들은 이메일의 링크보다 QR 코드를 더 신뢰합니다. QR은 표면을 인쇄한 사람이 선택한 목적지처럼 느껴지기 때문입니다. 그리고 단축 서비스를 통해 라우팅되는 동적 QR 코드는 인쇄된 자산이 배포된 후에도 피싱 목적지로 재지정될 수 있으므로, 인쇄 시점에 안전했던 QR이 몇 달 후 위험해질 수 있습니다. 정적 링크 스캐너는 "이 URL이 지금 악의적인가"에 답하지, "이 링크가 어디로 연결되는지 변경할 수 있는 주체가 누구인가"에는 답하지 않습니다.
스캔 전에 QR 코드가 안전한지 어떻게 확인하나요?
스마트폰 기본 카메라로 향하지 마세요. 즉시 목적지가 열립니다. 대신 스마트폰에서 check.qr.abundera.ai를 열고, 페이지 내 카메라로 QR을 스캔하면(디코딩이 로컬에서 발생하고 이미지가 기기를 떠나지 않습니다) 판정을 확인할 수 있습니다. 모든 리디렉션 경유지를 추적하고, 목적지가 QR 인쇄 후 제3자에 의해 제어될 수 있는지 분류하며, Google Safe Browsing 및 기타 집계기를 통해 평판을 확인합니다. 통과 판정은 안전하게 열 수 있고, 주의 및 진행 금지 판정은 이유를 알려줍니다.
실제 퀴싱 사례는 무엇인가요?
주차 미터와 전기차 충전기 스티커에 정당한 QR 위에 신용카드 수집 페이지로 연결되는 스티커가 덮여 있는 경우(2024-2025년 가장 많이 보고된 패턴, 오스틴, 샌안토니오, 영국 전역에서 발생). 밤새 공격자가 물리적으로 테이블 텐트를 교체하여 피싱 페이지로 변경된 식당 메뉴 QR. 공식처럼 보이지만 공격자의 기기를 등록하는 사무실 화장실의 기업 MFA 등록 전단지. 이벤트 수개월 전에 배포된 결혼 초대장 QR(단축 서비스 계정 침해로 수천 장의 인쇄된 카드를 재지정 가능). 판매 단말기의 공격자 지갑 주소가 겹쳐진 크립토 결제 QR. 공통점: 인쇄된 QR이 안전한 것과 외관상 동일합니다.
Google Safe Browsing이나 VirusTotal과 어떻게 다른가요?
기존 도구는 URL이 현재 악의적인지 분류합니다. 저희는 추가로 QR 인쇄 후 목적지가 제3자에 의해 제어될 수 있는지 분류합니다. 이 속성을 변경 가능성이라고 합니다. 단축 서비스를 통해 라우팅되는 안전한 동적 QR도 주차 미터 스티커나 결혼 초대장에서는 여전히 고위험입니다. 단축 서비스 계정 보유자가 언제든지 목적지를 변경할 수 있기 때문입니다. 저희는 이 제어 상태를 위협 콘텐츠 판정과 함께 1급 판정 필드로 표시합니다.
스캔한 QR을 저장하나요?
아니요. 디코딩된 페이로드는 체인 추적과 평판 데이터베이스 조회를 위해 HTTPS를 통해 서버로 전송됩니다. 이는 기능적 필요성이지 선택이 아니지만, 절대 저장되지 않습니다. 판정은 페이로드 유형별 식별자와 서버 보유 비밀 솔트를 연결한 SHA-256 해시로 캐시됩니다. 어떤 캐시 항목에서도 원본 페이로드를 재구성할 수 없습니다.
왜 qr.abundera.ai와 별도 도메인인가요?
qr.abundera.ai는 모든 것이 클라이언트 측에서 처리되는 생성기입니다. 기기에서 아무것도 전송되지 않습니다. 이 안전 검사기는 기능적 필요에 의해 디코딩된 페이로드를 서버로 전송합니다. 두 표면을 분리하여 클라이언트 전용 약속이 생성기 도메인에서 명확하게 유지되고, 반전된 개인정보 모델 표면이 여기서 명확하게 표시됩니다.
변경 알림 기능이란 무엇인가요?
Pro 티어. 추적을 위해 QR을 제출하면 주기적으로 체인을 재추적합니다. 리디렉션 대상, 최종 목적지, 또는 우회 서비스 운영자 집합이 변경되면 이메일로 알립니다. 이는 가장 일반적인 실제 퀴싱 패턴을 포착합니다. 안전한 QR을 인쇄하고, 몇 달 후 목적지를 피싱으로 전환하여, 인쇄된 자산에서 스캔을 수집하는 방식입니다.
보안 제품에 임베딩할 수 있나요?
예, Pro 티어에서 가능합니다. API는 RESTful이며 페이로드 유형, 위협 클래스, 변경 가능성, 리디렉션 체인, 경유지별 제어 귀속, 하위 페이로드 결과가 포함된 구조화된 JSON 판정을 반환합니다. 지갑 앱, 모바일 보안 제품군, 기업 URL 필터링, 기업 Slack / Teams 링크 미리보기 보강 도구에 임베딩하도록 설계되었습니다.
오픈 소스인가요?
현재는 아닙니다. 분류기는 특허 작업이 심사 중인 동안 비공개 소스로 유지됩니다. 등록 후 공개된 알고리즘의 참조 구현을 공개할 수 있습니다. API 계약은 공개적이고 안정적입니다.