해킹 막으려면 누르세요?…교묘해진 스미싱, '오겜'까지 사칭했다

9일 카카오뱅크가 발표한 '2025년 상반기 스미싱 문구 유형 통계' /사진제공=카카오뱅크

올해 상반기 가장 많이 발생한 스미싱의 유형은 '개인정보 유출·수집 사칭'으로 나타났다. 개인정보에 대한 여러 이슈들이 발생하면서 이를 이용한 스미싱도 기승을 부린 것으로 풀이된다. '오징어게임' 같은 트렌드를 활용한 문구로 이용자를 유인하는 등 수법은 더욱 교묘해졌다.

9일 카카오뱅크가 발표한 '2025년 상반기 스미싱 문구 유형 통계'에 따르면 올해 상반기에 가장 많이 발생한 스미싱 문구 유형은 '개인정보 유출·수집 사칭'으로 전체의 37%를 차지했다.

스미싱은 문자나 메신저로 악성 앱(애플리케이션) 설치나 가짜 페이지 접속을 유도해 금융정보 등을 탈취하는 전기통신금융사기 수법이다.

스미싱 문구를 상세하게 살펴보면 "계정이 해킹됐으니 차단을 위해 링크를 클릭하라" "계정에 불안정한 활동이 확인됐으니 보안 인증을 완료하라" "개인정보 인증이 필요하다" 등 이용자들의 개인정보 유출에 대한 불안감을 자극하는 문구가 사용됐다.

이어 '금융기관 사칭' 스미싱 유형이 19%를 차지했다. "승인되지 않은 거래가 발생했다" "환급금을 확인하라"는 문구의 메시지가 대표적이다. 실제 금융기관에서 온 문자로 착각하도록 특정 금융기관명을 언급하며 링크나 전화번호로 연결을 유도하는 경우가 자주 확인됐다.

기업이나 광고를 사칭한 문구는 전체의 18%를 차지했다. 주요 문구로는 "무료 쿠폰 도착" "이벤트 당첨" "배송 확인 요청" 등이 있으며 실제 프로모션 문자처럼 보이도록 위장해서 클릭 또는 악성 앱 설치를 유도했다.

청첩장이나 부고 알림 등 지인을 가장한 스미싱도 12%로 적잖았다. 또 과태료나 범칙금 등 단속을 사칭한 유형은 10%로 나타났다. 지인 사칭과 단속 사칭 등은 전형적인 수법으로 오랜 시간 경고해온 수법이지만 최근까지도 계속 시도되고 있다.

특히 스미싱 유포자는 사회적 관심이 높은 트렌드를 문구에 반영했다. 입시 시즌에 맞춰 '대학 합격 통보'나 '교육비 납입 증명서' 등과 같은 문구를 넣는 식이다. 심지어 '오징어게임 시리즈' 관련 내용으로 피싱 문자를 꾸미고 사칭해서 이용자를 유인하기도 했다.

이번 통계는 카카오뱅크 AI데이터사이언스팀이 지난해 12월 'AI 스미싱 문자 확인' 서비스 출시한 이후 6개월 동안 접수된 약 3만7000건 스미싱 데이터를 기반으로 주요 키워드를 추출하고 문구 유형별로 빈도수를 집계해 분석한 결과다.

카카오뱅크는 'AI 스미싱 문자 확인' 서비스로 스미싱을 사전에 차단하기 위해 노력하고 있다. 의심되는 문자를 카카오뱅크 앱에 복사해 붙여넣으면 △스미싱 위험이 높은 문자 △안전한 문자 △단순 스팸 문자 △판단이 불가능한 문자' 등 4가지 유형으로 분류해 판단 기준을 제공한다.

이병권 기자 bk223@mt.co.kr