무인택배함 QR코드. 번호 누를 필요 없이 앱에 뜬 QR만 대면 문이 열린다. 편하다. 너무 편하다. 그런데 이 편리함이 만들어지기까지, 꽤 무서운 사건들이 있었다. 그리고 지금, 그 편리함이 또 다른 위험을 부르고 있다.
여러 사건들을 모아서 쭉 이어보니까 하나의 흐름이 보였다.
“택배 왔어요” 그 한마디. 무인택배함 QR코드가 나올 수밖에 없었던 이유
시작은 문 앞이었다.
2009년, 서울 방배동. 택배기사를 가장한 남성이 혼자 사는 여성 집에 들어가 강도로 돌변했다. 구속됐다. (조선일보, 2009.06.19)
2012년, 서울 강남구 역삼동. 택배원을 사칭한 남성이 전 여자친구 집에 침입해 흉기를 휘둘렀다. (문화일보, 2012.10.24)
2015년, 청담동 빌라. 택배기사 행세를 한 30대가 주부를 흉기로 위협하고 결박한 뒤 신용카드를 빼앗았다. (시사위크, 2015.03.14)
2016년, 강남 고급 빌라. 대낮에 택배기사를 가장한 강도가 70대 여성을 흉기로 위협했다. 수천만 원이 털렸다. (한국경제, 2016.12.08)
그리고 2021년. 택배기사를 사칭한 남성이 흥신소를 통해 신변보호 중이던 여성의 주소를 알아냈다. 그 집에 찾아가 여성의 어머니를 살해하고 13살 남동생에게 중상을 입혔다. 이석준, 무기징역 확정. (서울신문, 2022.06.21)
패턴은 같았다. “택배 왔습니다.” 문을 연다. 끝이다.
이 사건들이 쌓이면서 정부가 움직였다. 2013년, 서울시가 전국 최초로 여성안심택배함을 도입했다. 택배기사와 대면하지 않고, 무인으로 택배를 받는 시스템이었다. (정책브리핑, 2017.06.20)
이후 전국 지자체가 여성 1인 가구 밀집 지역, 원룸촌, 대학가에 무인택배함을 설치하기 시작했다. 파출소 벽면에 택배함을 붙인 곳도 있었다. (연합뉴스, 2018.03.31)
무인택배함은 편의가 아니라 안전에서 출발한 시스템이었다.
무인택배함 QR코드 시대가 온 이유. 비밀번호 1234의 허무한 결말
택배함이 깔렸다. 문자로 비밀번호가 온다. 번호 누르면 문이 열린다. 안심이었다.
그런데 비밀번호가 1234였다.
창원의 한 아파트. 무인택배함에서 택배가 연달아 사라졌다. 원인은 단순했다. 택배기사들이 바쁘다 보니 비밀번호를 전부 1234로 설정한 것이다. 누구든 열 수 있었다. (JTBC, 2019.06.20)
더 황당한 것도 있었다. 일부 저가형 택배함은 자석식 잠금장치를 쓰고 있었다. 자석 하나면 바깥에서 열린다. 비밀번호고 뭐고 필요 없었다. (YouTube, 2025.06.08)
그래서 나온 것이 QR코드 개방 방식이다. 앱에 뜬 QR을 스캔하면 문이 열린다. 매번 바뀌는 일회성 코드. 1234 같은 비밀번호 문제를 원천적으로 차단할 수 있다. 중국은 이미 27만 곳 이상의 스마트택배 보관함에 이 방식을 적용했다. (아시아경제, 2018.11.07)
한국도 따라갔다. QR코드 기반 무인택배함이 아파트 단지와 공공시설에 보급되기 시작했다. 500인 이상 거주 공동주택에는 무인택배함 설치공간 확보가 의무화됐다.
편리했다. 그런데 이 편리함에 구멍이 뚫렸다.
무인택배함 QR코드의 반전. 러시아에서 2,732개가 동시에 열렸다
2020년 12월, 러시아 모스크바.
무인택배 업체 픽포인트(PickPoint)가 운영하는 택배보관함 2,732개가 한꺼번에 열렸다. 전체의 3분의 1이었다. 해커가 네트워크에 침입해 원격으로 잠금장치를 해제한 것이다. (데일리포스트, 2020.12.08)
앱으로 문을 여는 시스템. 서버와 택배함이 인터넷으로 연결된 구조. 서버 하나가 뚫리자 수천 개의 문이 동시에 열렸다. 픽포인트는 이를 세계 최초의 표적형 사이버 공격이라고 했다. (buyrussia21, 2020.12.09)
QR코드로 여는 무인택배함도 같은 구조다. 서버, 네트워크, 잠금장치가 하나의 체인으로 연결돼 있다. 이 체인의 한 고리가 끊어지면 모든 함이 열릴 수 있다.
여기서 발견한 게 있다. 러시아에서 일어난 일과 지금 한국에 깔리고 있는 QR 기반 택배함의 구조가 본질적으로 같다는 점이다.
택배 조회하세요. 무인택배함 QR코드 습관을 노린 해커들
문제는 택배함 자체만이 아니었다. QR코드를 찍는 습관 자체가 무기가 됐다.
2025년 12월. 북한 해커조직 김수키(Kimsuky)가 CJ대한통운을 사칭한 스미싱 문자를 대량 발송했다. 링크를 누르면 가짜 배송조회 사이트가 뜬다. 거기엔 QR코드가 있다. 그걸 찍으면 보안 앱을 가장한 악성 앱이 깔린다. (보안뉴스, 2025.12.18)
이 앱이 장악하는 것. 오디오 녹음, 비디오 녹음, 위치 추적, 연락처 탈취, SMS 가로채기, 실시간 키로깅. 지원하는 원격 명령어 57개. 스마트폰 전체를 통제한다. (동아일보, 2025.12.19)
2026년 1월. 미국 FBI가 긴급 경고를 냈다. 김수키가 QR코드를 활용한 퀴싱(Quishing) 공격으로 다요소인증(MFA)까지 우회하고 있다는 내용이었다. 개인 모바일 기기를 통해 조직 전체 계정과 클라우드 자산이 넘어갈 수 있다고 했다. (이스트시큐리티, 2026.01.20)
여기서 소름 돋는 걸 발견했다. 무인택배함에서 QR을 찍고, 킥보드에서 QR을 찍고, 식당에서 QR을 찍는 사람들. QR이네 찍으면 되겠지라는 무의식. 해커들은 정확히 그 무의식을 공략하고 있었다.
킥보드에 붙은 가짜 QR. 일상 어디서든 터지는 큐싱
택배만의 문제가 아니었다. QR코드를 쓰는 모든 곳이 공격 대상이 됐다.
공유 킥보드의 정상 QR코드 위에 가짜 QR 스티커를 덧붙인다. 주차 미터기에 가짜 QR을 붙인다. 식당 메뉴판에 가짜 QR을 끼워 넣는다. 주문한 적 없는 택배 안에 QR코드가 든 카드를 동봉한다. (중앙일보, 2024.10.07)
이 수법의 이름이 큐싱(Quishing)이다. QR코드와 피싱의 합성어다.
숫자로 보면 이렇다. 2023년 국내에서 탐지된 보안 공격의 17%가 큐싱이었다. 전년 대비 60% 급증. 미국에서는 2023년 한 해 QR코드 사기 피해액이 약 2,064억 원이었다. (서울신문, 2024.08.01)
여기서 또 하나 발견한 게 있다. 보이스피싱은 중장년층이 주로 당했다. 큐싱은 다르다. QR에 익숙한 20대에서 30대, 청소년이 타깃이다. 정부가 2024년 10월, 공유 킥보드를 자주 이용하는 청소년 대상 큐싱 범죄를 공식 경고했다. (경향신문, 2024.10.23)
설치는 늘었는데 안 쓴다. 무인택배함 QR코드의 현실
2024년 기준, 대한민국 국민 1인당 연간 택배 이용 횟수는 116.3회다. 경제활동인구 기준 204.3회. (시빅뉴스, 2025.11.19)
택배는 폭발적으로 늘었다. 무인택배함도 깔렸다. 그런데 이용률은 떨어지고 있다.
이유는 단순하다. 위치가 집에서 멀다. 크기가 작아서 큰 택배가 안 들어간다. 48시간 넘으면 연체료가 붙는다. 고장 나면 누구에게 연락해야 하는지 모른다. 2026년 현재 서울시 안심택배함 운영현황을 보면, 현금이나 귀중품 보관 금지와 함께 보이스피싱 주의까지 안내하고 있다. (서울시, 2026.03)
안전하려고 만든 건데 불안하다. 편하려고 쓰는 건데 불편하다.
이 모순이 지금 무인택배함의 현실이다.
지금 이 상황에서 발견한 것들
사건들을 시간 순서대로 쭉 이어보니까 하나의 흐름이 보였다.
첫째, 택배기사 사칭 범죄가 반복됐다. 그래서 무인택배함이 나왔다. 둘째, 무인택배함의 비밀번호가 허술했다. 그래서 QR코드 개방 방식이 나왔다. 셋째, QR코드를 일상적으로 찍는 습관이 생겼다. 그 습관을 해커가 노리기 시작했다. 넷째, QR 기반 무인택배함은 서버와 네트워크와 잠금장치가 하나로 연결돼 있다. 러시아에서는 이미 수천 개가 동시에 열린 적이 있다.
그리고 이 흐름에서 가장 흥미로운 지점을 발견했다. 편리함을 높이기 위해 도입한 기술이 새로운 공격 표면을 만들어내고 있다는 것이다. 그리고 그 공격 표면은 QR코드에 가장 익숙한 20대에서 30대 여성 1인 가구, 바로 무인택배함의 핵심 이용자층과 정확히 겹친다.
택배함 문을 여는 방식은 바뀌었다. 그런데 그 문 너머의 위험은 사라진 것이 아니라 형태만 바뀌었을 가능성이 있다.
여기까지가 사실들을 조합해서 발견한 흐름이다. 어떻게 볼 것인지는 이 글을 읽는 사람의 판단에 맡긴다.