신청하지 않은 카드의 발급 완료나 거래 내역 알림 혹은 금융 기관 관련 문자에 더욱 주의를 기울여야 할 필요가 있겠다. 지난해 4분기 발생한 피싱 문자 공격 유형 중 약 절반가량이 '금융 기관 사칭'이었던 것으로 나타났다.
기사를 바탕으로 AI가 생성한 자료사진.
5일 안랩은 피싱 문자를 탐지·분석한 결과를 담은 '2025년 4분기 피싱 문자 트렌드 보고서'를 발표했다. 피싱 문자는 지난해 10월부터 12월까지 에이전틱 인공지능(AI) 기반 보안 플랫폼 '안랩 AI 플러스'로 분석했다.
지난해 4분기 가장 빈번하게 발생한 피싱 문자 공격 유형은 '금융기관 사칭(46.93%)'으로 나타났다. 전체의 절반에 육박하는 수치다. 그 뒤를 이어 ▲정부·공공기관 사칭(16.93%) ▲구인 사기(14.40%) ▲텔레그램 사칭(9.82%) ▲대출 사기(5.87%) ▲택배사 사칭(3.32%) ▲부고 위장(1.47%) ▲공모주 청약 위장(0.70%) ▲청첩장 위장(0.39%) ▲가족 사칭(0.17%) 순으로 집계됐다.
특히 '금융기관 사칭'은 직전 분기 대비 높은 증가율(▲343.6%)을 기록하며 빠른 확산세를 보였다. '카드 발급 완료 안내', '거래 내역 알림' 등의 문구로 사용자의 불안을 자극한 뒤, 본인이 신청하거나 결제하지 않은 내역일 경우 즉시 신고하라고 유도하는 방식이 대표적이다. 문자 본문에는 피싱 사이트 URL이나 가짜 고객센터 전화번호가 삽입되고, 신고 절차를 가장해 개인정보 입력을 요구하는 사례가 지속적으로 확인되고 있다.
피싱 공격자가 사칭한 산업군 비중을 살펴보면 ▲정부·공공기관(10.16%) ▲금융기관(4.53%) ▲물류(1.04%) ▲기타(84.24%) 순으로 나타났다.
일상과 밀접한 정부·공공기관을 사칭한 공격이 상대적으로 큰 비중을 차지했다. 반면 공격 유형 1위인 '금융기관 사칭'은 특정 금융사 명칭을 직접 언급하기보다는 금융 관련 키워드만 활용한 사례가 많아, 사칭 산업군 통계에서는 2위에 머문 것으로 분석된다. 특히 '기타' 산업군 사칭이 80% 이상을 차지한다는 점은 공격자들이 특정 기관이나 인물을 사칭하는 방식에서 벗어나, 보다 범용적인 '상황 위장형' 공격으로 전략을 확대하고 있음을 보여준다.
피싱 시도 방식에서는 'URL 삽입'이 98.89%로 압도적인 비중을 차지했다. 반면 '모바일 메신저로 유인'하는 수법은 1.11%에 그쳤다.
이는 공격자들이 새로운 기술을 적극 도입하기보다, 이미 높은 성공률이 검증된 URL 기반 공격을 지속적으로 고도화하고 있음을 시사한다. 수법 자체는 단순하지만, 사용자의 심리를 교묘히 자극해 피해로 이어질 가능성이 높아 각별한 주의가 요구된다.
피싱 문자 피해를 예방하기 위해서는 ▲불분명한 송신자가 보낸 URL 클릭 금지 ▲의심스러운 전화번호 평판 확인 ▲업무나 일상에 불필요한 국제 발신 문자 수신 차단 ▲스마트폰 보안 제품 설치 등 기본적인 보안 수칙을 지키는 것이 중요하다.
안랩은 "피싱 문자 공격은 꾸준히 진화하고 있지만 금전·구직 등 관심도가 높은 이슈나 사용자의 일상과 밀접한 계절적 소재를 활용하기 때문에 작년과 유사한 패턴이 올해에도 이어질 수 있다"며 "설 연휴를 앞둔 만큼 가족과 지인에게 대표적인 피싱 수법을 미리 공유하며 경각심을 높인다면 피해를 충분히 예방할 수 있을 것"이라고 밝혔다.
Copyright ⓒ 위키트리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
