"금융사기, 개인정보 유출 사고 사칭이 가장 많아"
개인정보 유출·수집 사칭(37%) 수법 1위 기록
금융기관 사칭(19%) 기업 및 광고 사칭(18%)
[파이낸셜뉴스] 카카오뱅크가 9일 발표한 '2025년 상반기 스미싱 문구 유형 통계'에 따르면 올해 상반기 가장 많았던 '스미싱' 문구 유형은 개인정보 유출˙수집 사칭으로 집계됐다. 상반기 카카오뱅크 앱에 접수된 유형 3만7000여건 중 37%가 개인정보 유출 사고 등을 사칭한 스미싱 문자였다. 스미싱이란 문자메시지(SMS)와 피싱(Phishing)의 합성어다. 악성 앱 설치나 피싱 페이지 접속을 유도해 금융정보 등을 탈취하는 전기통신금융사기 수법을 뜻한다.
뒤이은 수법을 살펴보면 △금융기관 사칭(19%) △기업 및 광고 사칭(18%) △청첩·부고 등 지인 사칭(12%) △과태료·범칙금 등 단속 사칭(10%) 등으로 집계됐다.
카카오뱅크는 점차 정교해지는 스미싱 대응을 위해 올해 상반기 동안 앱에서 제공하고 있는 'AI 스미싱 문자 확인' 서비스를 통해 수집된 스미싱(피싱 문자) 데이터를 분석했다. 이번 통계는 카카오뱅크가 지난해 12월 AI 스미싱 문자 확인 서비스 출시 이후 6개월간 접수된 3만7000여건의 스미싱 데이터를 기반으로 카카오뱅크 AI데이터사이언스팀이 주요 키워드를 추출하고 문구 유형별로 빈도수를 집계해 분석한 결과다.
AI 스미싱 문자 확인 서비스는 카카오뱅크 앱에서 의심되는 문자를 복사해 붙여넣기 하면 스미싱 위험 여부를 판단해주는 서비스다. AI를 활용해 스미싱 위험이 높은 문자, 안전한 문자, 단순 스팸 문자, 판단이 불가능한 문자 등 4가지 유형으로 분류해 문자의 신뢰도를 판단하는 기준을 제공한다.
문구 유형별 상세 내용을 살펴보면, 가장 높은 비중을 차지한 개인정보 유출·수집 사칭 수법에는 “계정이 해킹됐으니 차단을 위해 링크를 클릭하라” “계정에 불안정한 활동이 확인됐다. 보안 인증을 완료하라” “개인정보 인증이 필요하다” 등 이용자의 불안감과 긴급함을 자극하는 문구가 주로 사용됐다.
뒤를 이어 ‘금융기관 사칭’ 스미싱 유형이 19%를 차지했다. “승인되지 않은 거래가 발생했다”거나 “환급금을 확인하라”는 문구가 포함된 메시지가 대표적이다. 실제 금융기관에서 온 문자로 착각하도록 교묘하게 구성된 사례가 많았다. 특정 금융기관명을 언급하며 피싱 링크나 전화번호로 연결을 유도하는 경우가 자주 확인됐다.
기업이나 광고를 사칭한 문구는 전체의 18%를 차지했다. 주요 문구로는 “무료 쿠폰 도착”, “이벤트 당첨”, “배송 확인 요청” 등이 있으며, 실제 프로모션 문자처럼 보이도록 위장한 것이 특징이다.
청첩장이나 부고 알림 등 지인을 가장한 스미싱은 12%, 과태료나 범칙금 등 단속을 사칭한 유형은 10%로 나타났다. 이처럼 지인 사칭, 단속 사칭 등 전형적인 수법은 오랜 시간 사용되어 왔으며, 최근까지도 꾸준히 시도되고 있다.
이외에도 스미싱 유포자는 사회적 관심이 높은 트렌드를 문구에 반영하기도 했다. 입시 시즌에는 ‘대학 합격 통보’나 ‘교육비 납입 증명서’ 등과 같은 문구가 등장했고, ‘오징어게임 시리즈’ 관련 내용을 활용한 사례도 포착됐다. '건강검진 결과통보' 등 평상시 관심이 높은 문구로 이용자를 유인하기도 했다.
한국인터넷진흥원(KISA)은 스미싱으로 인한 피해를 예방하기 위해 △문자 수신 시 출처가 불분명한 사이트 주소는 클릭하지 말고 즉시 삭제할 것 △의심되는 사이트 주소는 정상 사이트와 일치 여부를 반드시 확인할 것 △휴대폰 번호, 아이디, 비밀번호 등 개인정보는 신뢰할 수 있는 사이트에만 입력해야 한다. 또 인증번호는 모바일 결제와 연결될 수 있으므로 특히 주의할 것을 권고하고 있다.
mj@fnnews.com 박문수 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지