"카드 발급 됐습니다"…피싱 문자 절반은 '금융기관 사칭'

(서울=뉴스1) 나연준 기자

"00카드입니다. 신청하신 카드 발급이 완료됐습니다. 본인이 아니라면 즉시 아래 URL로 신고해주세요."

#. 신청한 적 없는 카드 발급 안내 문자를 받게 된다면 의아한 생각이 먼저 든다. 세간을 떠들썩하게 했던 해킹사태로 유출된 내 개인정보가 혹시 카드 발급에 도용된 것은 아닐까 겁이 나는 것도 사실이다. 어떤 상황인지 파악부터 해보자 하는 마음으로 URL를 눌러 '본인인증'을 했다면, 당신은 지금 휴대폰에 있는 모든 민감정보를 싹 다 털렸을 수 있다.

지난해 4분기 발생한 피싱 문자 공격 유형 중 약 절반은 '금융기관 사칭'이었던 것으로 집계됐다.

안랩은 2025년 10월부터 12월까지 에이전틱 AI 기반 보안 플랫폼 '안랩 AI 플러스'로 다양한 피싱 문자를 탐지·분석한 결과를 담은 '2025년 4분기 피싱 문자 트렌드 보고서'를 5일 발표했다.

안랩에 따르면 지난해 4분기 가장 많이 발생한 피싱 문자 공격 유형은 '금융기관 사칭'(46.93%)이었다.

이어 △정부·공공기관 사칭(16.93%) △구인 사기(14.40%) △텔레그램 사칭(9.82%) △대출 사기(5.87%) △택배사 사칭(3.32%) △부고 위장(1.47%) △공모주 청약 위장(0.70%) △청첩장 위장(0.39%) △가족 사칭(0.17%) 순서로 집계됐다.

'금융기관 사칭' 유형은 직전 분기 대비 높은 증가율(△343.6%)을 기록하며 확산세를 보였다.

'카드 발급 완료 안내', '거래 내역 알림' 등을 내세워 직접 신청·결제하지 않은 내역일 경우 즉시 신고하라는 문구로 사용자의 불안 심리를 자극하는 사례가 많았다.

피싱 시도 방식은 'URL 삽입'이 98.89%로 압도적인 비중을 차지했다. '모바일 메신저로 유인'하는 수법은 1.11%에 그쳤다. 기술적 변화를 시도하기보다 높은 성공률이 검증된 URL 기반 공격을 지속적으로 고도화하는 모습이다.

안랩은 피싱 문자 피해를 예방하기 위해 △불분명한 송신자가 보낸 URL 클릭 금지 △의심스러운 전화번호의 평판 확인 △업무·일상에 불필요할 경우 국제 발신 문자 수신 차단 △스마트폰 보안 제품 설치 등 보안 수칙을 준수해야 한다고 강조했다.

yjra@news1.kr