2025년 한 해 국내 대기업과 대형 커머스 플랫폼을 잇따라 덮친 해킹 사고가 금융 범죄 지형까지 바꿔 놓은 것으로 나타났다. 단순 개인정보 유출에 그쳤던 과거와 달리, 유출된 데이터를 발판 삼아 개인 금융 자산을 노리는 악성앱 기반 범죄가 빠르게 확산되고 있다.
AI 보안 기업 에버스핀(대표 하영빈)은 자사 악성앱 탐지 솔루션 ‘페이크파인더(FakeFinder)’를 통해 수집한 2025년 데이터를 분석한 결과, 악성앱 범죄가 양적 확산에서 정밀 타격형 구조로 전환됐다고 밝혔다.
에버스핀에 따르면 지난해 전체 악성앱 탐지 건수는 92만 4,419건으로, 전년(약 104만 건) 대비 11%가량 감소했다. 수치만 보면 위협이 줄어든 것처럼 보이지만, 범죄 양상은 오히려 한층 정교해졌다는 평가다.
해킹 사고를 통해 실명, 전화번호, 구매 이력 등 구체적인 개인정보가 대거 유출되면서 해커들이 무작위 공격 대신 성공 가능성이 높은 대상만 골라내는 방식으로 전략을 바꿨다는 설명이다. 한 보안 업계 관계자는 “피싱 범죄가 더 이상 운에 기대지 않는다”고 말했다.
유형별 변화는 더욱 뚜렷하다. 전통적인 보이스피싱 수단으로 분류되는 ‘전화 가로채기’ 악성앱은 전년 대비 24.1% 줄어 37만 건에서 28만 건으로 감소했다. 단순 기관·기업 사칭 앱 역시 45만 건에서 32만 건으로 30% 가까이 줄었다. 검찰·금융기관을 사칭한 전화나 메시지에 대한 이용자 경계심이 높아진 결과로 해석된다.
반면 스마트폰 내부의 민감 정보를 직접 탈취하는 ‘개인정보 탈취’ 유형 악성앱은 1년 새 53% 급증했다. 2024년 21만 건에서 2025년 32만 건으로 늘며 가장 위협적인 범주로 떠올랐다.
에버스핀은 해킹으로 확보한 개인정보만으로는 금융사의 다중 인증 절차를 넘기 어렵다는 점에 주목했다. 문자 인증번호, 신분증 이미지, 연락처, 사진 데이터까지 확보해야 실제 금전 피해로 이어질 수 있기 때문에 악성앱을 통한 정보 탈취에 범죄 조직이 집중하고 있다는 분석이다.
실제 범죄 수법도 한층 교묘해졌다. 공격자들은 유출된 상세 주문 내역을 활용해 “배송지 오류 수정이 필요하다”거나 “결제 확인이 필요하다”는 메시지로 접근한다. 피해자가 의심을 풀고 앱을 설치하면, 악성앱은 통화 기능보다 문자 메시지, 연락처, 사진첩 접근 권한을 집중적으로 탈취해 금융 인증 우회를 노린다.
에버스핀 관계자는 “2025년의 대규모 해킹 사고는 해커들에게 어떤 정보를 어떻게 결합해야 범죄가 완성되는지를 알려준 참고서와 같았다”며 “유출 데이터가 1차 재료라면, 정보 탈취 악성앱은 이를 완성하는 도구 역할을 했다”고 말했다.
다만 전문가들 사이에서는 기술 의존도가 높아지는 현실에 대한 경계의 목소리도 나온다. 개인이 메시지와 앱의 진위를 구별하기 어려운 환경에서 금융권 보안 기술 도입이 확대되고 있지만, 기술만으로 모든 위험을 차단하기 어렵다는 지적이다. 금융사 내부 통제와 이용자 교육 역시 병행돼야 한다는 의견이 나온다.
이번 분석에 활용된 데이터는 KB국민은행, 카카오뱅크, 한국투자증권, 신한투자증권, KB국민카드, 우리카드, DB손해보험, SBI저축은행, 저축은행중앙회 등 국내 주요 금융사가 페이크파인더를 도입해 운영한 결과를 기반으로 한다. 업계 전반에서 수집된 데이터라는 점에서 신뢰도는 높다는 평가다. 상세 분석 리포트는 2월 중 에버스핀 공식 홈페이지를 통해 공개될 예정이다.
한편 에버스핀은 2025년 소프트웨어 대상 대통령상을 수상하고 일본 SBI그룹과의 통합 계약을 체결하는 등 해외 사업을 확대해 왔다. 회사 측은 지난해 매출이 130억 원을 넘길 것으로 추산되며, 전년 대비 약 50% 성장에 근접했다고 밝혔다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
