AI 보안 기업 에버스핀이 2025년 악성앱 동향을 분석한 보고서를 통해 사이버 범죄의 양상이 ‘정밀 타깃형’으로 급격히 변화하고 있다고 진단했다.
에버스핀은 26일 ‘페이크파인더 악성앱 리포트 Vol.5’를 발간하고, 해킹으로 유출된 개인정보가 피싱 범죄로 이어지는 구조가 데이터로 확인됐다고 밝혔다.
리포트에 따르면 2025년 악성앱 탐지 건수는 92만4419건으로 전년 대비 약 11.2% 감소했다. 수치만 놓고 보면 위협이 줄어든 것으로 보이지만, 실제로는 공격 방식이 더 정교해졌다는 분석이다.
불특정 다수를 노리는 방식에서 벗어나, 해킹으로 확보한 실명·전화번호·구매 이력 등을 활용해 특정 개인을 겨냥하는 공격으로 변화했다는 설명이다.
유형별로는 ‘전화 가로채기’와 ‘기관 사칭 앱’이 각각 24.1%, 30.1% 감소한 반면, ‘개인정보 탈취형’ 악성앱은 53% 증가하며 전체의 34.7%를 차지했다.
단일 유형 기준으로 가장 큰 비중이다. 에버스핀은 이를 해킹 피해가 2차 범죄로 확장된 결과로 해석했다.
범죄자들이 1차 해킹으로 확보한 정보만으로는 금융 인증을 통과하기 어렵다고 판단하고, 인증번호(SMS)나 신분증 이미지 등 추가 정보를 확보하기 위한 악성앱 유포에 집중하고 있다는 분석이다.
특히 유출된 구매 데이터를 활용한 맞춤형 피싱 사례가 증가한 점이 눈에 띈다. 실제 주문 내역을 기반으로 ‘배송 지연 안내’ 등을 가장한 메시지를 보내 피해자의 의심을 줄이는 방식이다.
피싱 공격이 단순 사칭을 넘어 개인 맞춤형으로 진화하면서 피해 가능성이 더욱 높아졌다는 지적이다.
개인정보 탈취형 악성앱은 2025년 3~5월 사이 급증한 것으로 나타났다. 해당 시기는 대규모 해킹 사고로 개인정보가 유출된 이후와 시점이 맞물린다.
에버스핀은 이를 근거로 해킹과 피싱이 독립적인 범죄가 아니라 ‘원인과 결과’로 이어지는 구조임을 확인했다고 설명했다.
회사 측은 사이버 범죄 대응의 핵심이 사후 대응이 아닌 ‘초기 해킹 차단’에 있다고 강조했다.
에버스핀 관계자는 “해킹으로 유출된 정보가 피싱 범죄의 기반이 되고 있다”며 “기업이 고객 데이터를 보호하는 것이 금융 범죄를 막는 첫 단계”라고 밝혔다.
에버스핀은 카카오뱅크, KB국민은행, 삼성카드, 한국투자증권, DB손해보험 등 금융사에 보안 솔루션을 공급하고 있다. 또 일본 SBI 그룹과의 계약을 통해 해외 시장에서도 사업을 확대 중이다.
사이버 공격이 정교해질수록 데이터 기반 탐지와 대응 기술의 중요성이 커지는 가운데, 보안 시장 역시 빠르게 성장할 것으로 전망된다. 다만 개인정보 보호 책임과 규제 강화가 동시에 요구되는 만큼 기업의 대응 역량이 핵심 경쟁 요소로 떠오르고 있다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
