QR 코드는 컨테이너입니다. 내부에는 결제, 백신 기록, 운전면허증, eSIM, 패스키 로그인, 스마트홈 페어링 등 각각 고유한 위협 모델을 가진 국제 표준이 담겨 있습니다. 이 페이지는 스캐너가 식별하는 모든 표준에 대한 권위 있는 참조 자료로, 스캔 시 실제로 무엇이 들어 있는지, 그리고 표시하는 항목과 의도적으로 마스킹하는 항목을 정확히 설명합니다.
지난 5년간 가맹점에 결제할 때 스캔한 모든 QR은 EMVCo의 TLV 프레이밍을 사용하지만 내용은 국가별로 다릅니다. 특정 방식을 식별하고, 결제 전 확인이 필요한 가맹점 필드를 디코딩하며, 스티커 교체 공격자가 위조할 수 없는 CRC 체크섬을 검증합니다.
전 세계 모든 가맹점 제시 QR 결제의 기본 표준. 가맹점 이름, 도시, 국가, 통화, 금액, 수취인 계좌 정보와 CRC-16/CCITT-FALSE 체크섬을 담은 태그-길이-값 프레이밍.
표시 항목: 가맹점 이름, 도시, 국가, ISO 4217 통화(전체 테이블, 169개 코드), MCC 카테고리, 금액, 동적/정적 구분, 팁 표시, 추가 데이터 서브필드(참조 레이블, 청구서 번호, 고객 레이블, 단말기 레이블, 목적).
위협 점수: 유효하지 않은 CRC → 의심(QR이 변조되었거나 손상된 것으로, 스티커 교체의 가장 신뢰할 수 있는 신호).
브라질 중앙은행의 즉시 결제 방식. 거래량 기준 세계 최고. 정적(재사용 가능) QR과 동적(일회용, 거래 ID 포함) QR 두 종류입니다.
표시 항목: 수취인 Pix 키(CPF / CNPJ / 이메일 / 전화 / EVP UUID), 결제 설명, 동적 QR URL(있을 경우).
사용자 수 기준 세계 최대의 인도 통합결제시스템(UPI). UPI 가상 결제 주소(VPA)를 통해 실시간으로 은행 간 결제를 라우팅합니다.
표시 항목: 수취인 VPA, 수취인 이름, 금액, 통화, 거래 참조, MCC, 거래 메모.
ISO 20022 SPC v2.2(EMVCo가 아님). 기존 오렌지/빨간색 스위스 결제 전표 대체. 수취인, 최종 수취인, 최종 채무자, 참조 유형(QRR / SCOR / NON), 청구 정보, 대안 절차를 담은 33개 줄 구분 필드.
표시 항목: 수취인 IBAN, 전체 수취인 주소, 최종 채무자, 금액, 통화, 참조 유형 표시, 구조적 참조, 비구조적 메시지, eBill 대안 절차 URL.
유럽결제위원회 신용 이체 QR. 독일, 오스트리아, 네덜란드, 북유럽 국가에서 청구서 결제에 널리 사용됩니다.
표시 항목: 수취인 이름, IBAN, BIC, 금액, 송금 정보, 목적 코드.
왕국의 모든 상거래에 의무적으로 적용되는 암호학적으로 서명된 청구서. 5개의 필수 태그(판매자, VAT 번호, 타임스탬프, 합계, VAT 금액)와 ECDSA 서명을 포함하는 TLV 인코딩.
표시 항목: 판매자 이름, VAT 등록 번호, ISO 8601 타임스탬프, 청구서 합계, VAT 금액.
그 외 다수: 54개국의 국가별 결제 방식을 식별합니다 — PromptPay(태국), PayNow(싱가포르), DuitNow(말레이시아), QRIS(인도네시아), Bizum(스페인), Swish(스웨덴), MB WAY(포르투갈), BLIK(폴란드), Wero(EU) 등 분석기 카탈로그에 수록된 수십 가지.
백신 기록, 처방전, 검사 결과, 여행 인증서 — 국가 보건 당국이 암호학적으로 서명합니다. 자격증명을 식별하고 발급자와 종류를 표시하지만, 환자의 이름, 생년월일, 병력은 의도적으로 디코딩하지 않습니다. 해당 정보는 지갑 앱에서 확인하세요.
DEFLATE 압축 JSON 페이로드(FHIR 리소스 포함)를 래핑하는 수치 인코딩 JWS. Apple Wallet, Common Trust Network, 미국 주, 캐나다 주, 여러 약국 체인에서 백신 및 검사 기록에 사용합니다.
표시 항목: 발급자 URL, 발급 ISO 타임스탬프, 자격증명 유형(covid19 / 예방접종 / 검사 등), FHIR 버전, 리소스 수 + 유형.
디코딩하지 않는 항목: 환자 이름, 생년월일, 예방접종/검사 날짜, 개별 FHIR 리소스 본문. 분석기 스위트에서 테스트로 통제됩니다.
HC1: 접두사는 base45 → DEFLATE → COSE_Sign1 → CBOR → CWT 체인으로 래핑되며 EU 정의 HCERT 클레임으로 끝납니다. COVID 비상사태 종료 후에도 일부 회원국에서 비COVID 여행 서류에 계속 사용됩니다.
표시 항목: 발급 국가(ISO 3166-1), 발급-유효 시작 타임스탬프, 만료 타임스탬프, 스키마 버전, 자격증명 종류(예방접종 / 검사 / 회복), 대상 질병(SNOMED-CT, 원시 코드 840539006 대신 "COVID-19" 표시), 예방접종/검사 국가, 발급 기관, 접종 차수/총 횟수, 검사 유형, 검사 결과.
디코딩하지 않는 항목: 환자 이름, 생년월일, 접종 날짜, 고유 인증서 ID(UVCI). 테스트로 통제됩니다.
운전면허증, 모바일 ID, 디지털 신원 지갑. 미국 운전면허증 뒷면 바코드에는 앞면의 모든 필드가 담겨 있습니다. 모바일 운전면허증 QR은 검증자가 NFC/BLE로 연결하여 속성을 읽을 수 있도록 연결 핸드셰이크를 전송합니다.
미국과 캐나다의 모든 운전면허증 뒷면에 있는 PDF417 바코드. AAMVA 카드 디자인 표준 부록 D.12.5에 따른 서브파일 요소 형식.
표시 항목(약 17개 필드): 이름·중간 이름·성, ISO 형식 생년월일, 성별, 키, 눈 색깔, 면허 번호(마스킹), 면허 등급, 제한 사항, 자격 부여, 만료일, 발급일, 전체 주소, 국가, 장기 기증 플래그, 재향 군인 플래그, 21세 미만 기준일.
기본적으로 민감 정보로 처리됩니다: 면허 번호와 생년월일은 탭하여 공개하는 마스킹 필드로 표시되므로, 판정 결과를 스크린샷해도 개인 정보가 유출되지 않습니다. 개인 정보 경고는 신분증을 스캔하는 바나 클럽이 보유자의 나이뿐만 아니라 이 모든 데이터를 수신한다는 점을 명시합니다.
iOS / Android 모바일 운전면허증이 검증자에게 제시하는 mdoc: QR. 암호 스위트 선택기, 보유자의 일시적 공개 키, 검증자가 연결에 사용할 수 있는 전송 방법 목록을 포함하는 CBOR DeviceEngagement.
표시 항목: 프로토콜 버전, 암호 스위트(현재 필수인 P-256 ECDH-ES + A256KW), 지원 전송 방법(NFC / BLE / Wi-Fi Aware), 서버 검색 호스트(있을 경우).
디코딩하지 않는 항목: 보유자의 일시적 공개 키 바이트(길이만 표시). 실제 mDL 속성은 검증자 연결 후 협상된 채널을 통해 전달되며, 이 스캐너를 거치지 않습니다.
국경 간 신원 제시를 위한 OpenID4VP 및 eudi-openid4vp 방식. EU 회원국 단계적 도입이 2024~2026년에 진행 중입니다.
표시 항목: 프로토콜 계열(openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, response_uri 호스트명, 서명 요청 흐름의 request_uri 호스트명, response_mode.
분산 식별자 — did:web, did:key, did:ion, did:ebsi 및 기타 방식.
표시 항목: DID 방식, 방식별 식별자, 서비스 파라미터, 상대 참조, 검증 프래그먼트.
보유한 모든 계정을 보호하거나 위험에 빠뜨리는 QR 로그인 흐름. 각 종류를 식별하고, QR이 본인이 아닌 다른 사람의 로그인을 완료하도록 요청할 때 명확하게 경고합니다.
노트북에서 패스키로 로그인할 때 표시되는 크로스 디바이스 패스키 QR. 피어 공개 키, QR 시크릿, 작업 힌트, 터널 서버 도메인, 타임스탬프, 상태 지원 플래그를 포함하는 base10 인코딩 CBOR 맵.
표시 항목: 작업(make-credential / get-assertion / discoverable), 터널 서버 도메인(예: cable.ua5v.com), ISO 타임스탬프, 상태 지원 여부, 피어 공개 키 길이, QR 시크릿 길이.
강력 경고: 이 QR을 스캔하면 다른 기기에서 시작된 로그인이 완료됩니다. 본인이 방금 패스키 로그인을 시작하지 않았다면 거부하세요. 이 QR을 생성한 사람이 귀하의 계정에 로그인될 수 있습니다.
RFC 4226 / RFC 6238 일회용 비밀번호 설정 QR. 인증기를 등록할 때 은행이나 업무 앱이 표시하는 otpauth:// URI.
표시 항목: 발급자, 계정, 알고리즘(SHA1 / SHA256 / SHA512), 자릿수(6 / 8), 기간(TOTP) 또는 카운터(HOTP), 발급자 아이콘 URL.
기본적으로 민감 정보로 처리됩니다: Base32 시크릿은 탭하여 공개하는 방식으로 표시됩니다. 시크릿을 Base32 검증하고 형식이 잘못된 경우 명확하게 경고합니다. 인증기 앱은 잘못된 형식의 시크릿을 자동으로 수락하지만 검증에 실패하는 코드를 생성합니다.
Google Authenticator 일괄 내보내기 QR. 인증기의 모든 2단계 인증 시크릿을 한 번에 담은 protobuf 번들로, N개의 OtpParameters 항목이 포함됩니다.
표시 항목(항목별): 발급자, 계정, 유형(HOTP / TOTP), 알고리즘, 자릿수, 카운터, 버전/배치 메타데이터. 공개 내용은 "이 번들의 권한: ACME / alice@acme; GitHub / bob@github; …"를 열거하여, 실제로 기기 간 이전 중인 사용자가 가져오기 전에 확인할 수 있습니다.
디코딩하지 않는 항목: 실제 시크릿 시드 바이트. 카나리아 문자열을 사용한 테스트로 검증되며, 판정 출력에 절대 나타나지 않습니다.
강력 경고: 사용자가 자신의 기기 간에 직접 이전 중이 아닌 한 위협 등급은 likely_dangerous입니다.
지갑 주소 제어권을 웹사이트에 증명하기 위해 지갑이 서명하는 일반 텍스트 로그인 메시지.
표시 항목: 사이트 도메인, 지갑 주소, 체인 ID, 논스, 만료 시간.
경고: 사이트와 문구를 주의 깊게 읽으세요. 악의적인 사이트는 서명된 SIWE 메시지를 이용해 해당 도메인에서 본인을 사칭할 수 있습니다.
항공 탑승권의 QR / Aztec / PDF417. 고정 너비 헤더(60자)에 세그먼트당 37자의 필수 데이터가 포함됩니다.
표시 항목(세그먼트별): 항공사 코드 + 편명(앞자리 0 제거), 노선(출발 → 도착), 날짜(율리우스일 → 연도 자동 보정 ISO 형식), 좌석, 객실 등급, 순번, 상태(탑승 완료 / 라운지 이용 / 보안 검사 면제 등). 다중 세그먼트 탑승권에는 세그먼트별 행 접두사가 붙습니다.
기본적으로 민감 정보로 처리됩니다: PNR / 예약 참조 번호는 탭하여 공개하는 방식으로 표시됩니다. 이름과 PNR만으로 대부분의 항공사 웹사이트에서 예약에 접근할 수 있습니다. 탑승권 사진을 공개적으로 게시하지 마세요.
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
표시 항목: SM-DP+ FQDN(휴대폰과 통신하는 통신사 서버), 활성화 코드, 확인 코드 필요 여부 플래그.
경고: 설치된 eSIM 프로파일은 SMS를 가로챌 수 있으며, 이는 SMS 기반 2단계 인증 코드를 포함합니다. SM-DP+가 실제 통신사(Airalo, Saily, Truphone, Google Fi 등)와 일치하는지 허용 목록과 대조한 후 설치하세요.
Connectivity Standards Alliance의 MT: 접두사가 붙은 base38 패킹 바이너리 코드. 크로스 벤더 스마트홈 페어링으로 Apple Home, Google Home, Amazon Alexa, Samsung SmartThings에서 동작합니다.
표시 항목: 벤더 ID, 제품 ID, 식별자, 8자리 설정 패스코드(민감 마스킹), 커미셔닝 흐름, 검색 기능 플래그(Soft-AP / BLE / 기존 IP 네트워크), 사양 버전.
Apple HAP 액세서리 설정 URI. Matter 이전에 나왔으며, 아직 Matter를 지원하지 않는 많은 액세서리에 탑재되어 있습니다.
Wi-Fi Alliance 기기 프로비저닝 프로토콜(WPS의 현대적 대체제). 2025년형 라우터의 QR 기반 기기 온보딩에 사용됩니다.
LE 오디오 방송을 위한 Bluetooth SIG의 QR 방식. 서비스 UUID 184F가 Auracast를 식별하며, 방송 이름(base64 디코딩)과 암호화 상태를 표시합니다.
표준 Bitcoin 결제 URI. 주소, 금액(BTC/sat 단위), 레이블, 메시지, PayJoin 엔드포인트(pj=), BIP-72 결제 요청 URL(r=), 필수(req-*) 파라미터, Lightning 폴백을 표시합니다.
체인 선택이 포함된 이더리움 결제 요청 URI. 수취인 대 컨트랙트, 체인 ID와 레이블(이더리움 메인넷, Optimism, Polygon, Base, Arbitrum, BNB 체인, Gnosis, Avalanche, Sepolia), 금액(wei → ETH/Gwei 표시), 함수 호출 이름, ERC-20 전송 인수를 디코딩합니다.
경고: 컨트랙트 호출은 단순 전송과 다릅니다. 지갑 드레이너는 사용자가 이 차이를 인식하지 못하는 것을 악용합니다.
dApp과 지갑 페어링 URI. 버전(v2가 현재 버전, v1은 더 이상 사용되지 않으며 보안이 취약), 토픽, 릴레이 프로토콜, 세션 대칭 키(민감 마스킹)를 표시합니다.
Solana Foundation의 이체 요청 URI. 수취인, 금액, SPL 토큰 민트, 레이블, 참조, 메시지, 메모를 표시합니다.
BOLT-12 오퍼(lno1…)는 재사용 가능한 Lightning 결제 요청입니다. LNURL(lnurl1…)은 지갑이 인보이스, 출금, 채널 개설, 인증을 가져오기 위해 호출하는 HTTPS 엔드포인트를 bech32로 인코딩합니다.
무기명 ecash 토큰. 다른 모든 암호화폐 형식과 달리 QR 자체가 문자 그대로 돈입니다. 사진을 찍은 누구든지 사용할 수 있습니다.
기본적으로 민감 정보로 처리됩니다: 토큰 문자열은 마스킹되며, 판정 결과는 QR에 미사용 가치가 있음을 명확하게 경고합니다.
Bech32로 인코딩된 Nostr 식별자. npub(공개 키), nsec(개인 키, 강력 경고), note, nevent, nprofile, naddr, nrelay를 인식합니다.
nsec 민감 정보: QR에 담긴 Nostr 개인 키는 보유자의 신원이 노출되었음을 의미합니다. 자격증명 유출로 표시합니다.
소비자 제품의 1차원 바코드를 대체할 표준. URL 경로의 애플리케이션 식별자에 GTIN, 배치/로트, 제조/만료일, 일련번호 등이 인코딩됩니다.
표시 항목: GTIN(01), 배치/로트(10), 제조일(11), 유통기한(15), 만료일(17), 일련번호(21), 그 외 추가 AI 항목.
EU 규정에 따라 2027년부터 모든 소비자 제품에 디지털 여권(지속가능성, 원산지, 수리 정보)이 포함된 QR을 부착해야 합니다. 제품별 여권 페이지로 연결되는 GS1 Digital Link URL 기반입니다.
QR 자체는 현재 GS1 Digital Link 분석기를 통해 디코딩됩니다. URL 이후의 여권 내용은 각 제조사가 게시합니다.
INI 형식 WireGuard VPN 구성. 인터페이스 주소, DNS, 수신 포트, 피어 엔드포인트, 허용 IP, 지속 연결 유지, 추가 피어 수를 표시합니다.
기본적으로 민감 정보로 처리됩니다: 인터페이스 개인 키와 사전 공유 키는 탭하여 공개하는 방식으로 표시됩니다. allowed-IPs가 0.0.0.0/0(전체 터널, 모든 트래픽이 타인의 서버를 통과)인 경우 경고합니다.
OpenSSH authorized_keys 형식(ssh-ed25519 / ssh-rsa / ssh-ecdsa). 알고리즘, 주석, 키 길이를 표시합니다.
PEM 형식 X.509 인증서 및 원시 JWT 컴팩트 직렬화. DER 파싱을 통해 Subject CN/O, 발급자 CN, NotBefore/NotAfter, 공개 키 비트 길이를 추출합니다. 만료된 인증서를 표시합니다.
JWT 개인 정보: 헤더의 alg + typ만 표시하며 JWT 페이로드 클레임은 절대 디코딩하지 않습니다. 계정 ID, 범위 또는 스캔 결과에 포함되어서는 안 되는 기타 시크릿이 포함될 수 있습니다.
OpenPGP 공개/개인 키 블록. 형식만 표시하며 키 자료는 마스킹됩니다. 개인 키 블록에는 "이 QR을 공유하지 마세요"라는 경고가 표시됩니다.
심볼 체계는 *컨테이너* — 점과 사각형의 형태입니다. 위의 표준은 *페이로드* — 내부에 담긴 내용입니다. 스캐너는 모든 오픈 스탠다드 심볼 체계를 읽고 디코딩된 텍스트를 위의 적절한 분석기에 전달합니다.
모델 1(1994년 원본), 모델 2(현재 글로벌 표준), 마이크로 QR(소형 부품), 직사각형 마이크로 QR(rMQR, ISO/IEC 23941:2022, 시험관 등 좁은 라벨).
Eurostar, SBB 및 많은 유럽 대중교통 탑승권에 사용되는 불스아이 파인더 심볼 체계.
소형 고밀도 심볼 체계. GS1 소매, DSCSA 제약, MIL-STD-130 국방, ATA Spec 2000 항공, ISBT 128 혈액 제품 라벨링에 사용됩니다.
미국/캐나다 운전면허증(AAMVA), 배송 라벨, FedEx 항공화물 운송장에 사용되는 스택형 선형 심볼 체계.
EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF — 모든 식료품점 계산대와 배송 라벨에서 볼 수 있는 선형 바코드.
QR의 안전성은 URL의 안전성이 아니라 내부 콘텐츠를 규율하는 표준의 안전성입니다. 결제 QR은 스티커가 교체되어 위험하고, 패스키 QR은 누군가가 귀하로 로그인하려 하기 때문에 위험하며, 백신 기록 QR은 스캐너를 들고 있는 사람 때문에 위험합니다. 각각 고유한 위협 모델에 따라, 추측이 아닌 필드 수준 디코딩으로 별도 분석합니다.
위의 모든 분석기는 표시하는 항목과 의도적으로 마스킹하는 항목을 투명하게 공개하므로, 블랙박스를 신뢰하지 않고 판정 출력을 읽어 우리의 주장을 직접 검증할 수 있습니다.