"계정 해킹됐어요" 그 문자가 '스미싱'…카카오뱅크, AI로 잡아낸다

AI로 잡아낸 스미싱 문자 3만7000여 건 분석
"의심스러운 문자, 클릭 전 카뱅앱에서 확인"

[서울=뉴시스]올 상반기 발생한 스미싱(피싱문자:SMS+Phishing) 유형의 3건 중 1건이 계정이 해킹됐거나 개인정보가 유출됐다며 '개인정보 유출·사칭' 수법을 쓴 것으로 파악됐다. (사진=카카오뱅크 제공). 2025.07.09. photo@newsis.com

[서울=뉴시스] 조현아 기자 = 올 상반기 발생한 스미싱(피싱문자:SMS+Phishing) 유형의 3건 중 1건이 계정이 해킹됐거나 개인정보가 유출됐다며 '개인정보 유출·사칭' 수법을 쓴 것으로 파악됐다.

카카오뱅크는 9일 올 상반기 'AI 스미싱 문자 확인' 서비스를 통해 수집된 스미싱 데이터를 바탕으로 이러한 '스미싱 문구 유형 통계'를 발표했다. 이번 통계는 지난해 12월 AI 스미싱 문자 확인 서비스 출시 이후 6개월 간 접수된 약 3만7000건의 스미싱 데이터를 기반으로 카카오뱅크 AI데이터사이언스팀이 주요 키워드를 추출하고, 문구 유형별로 빈도수를 집계해 분석한 결과다.

올 상반기 가장 많이 발생한 스미싱 문구 유형은 '개인정보 유출·수집 사칭'으로 전체의 37%를 차지해 1위를 기록했다. 이어 금융기관 사칭(19%), 기업 및 광고 사칭(18%), 청첩·부고 등 지인 사칭(12%), 과태료·범칙금 등 단속 사칭(10%), 기타(4%) 순으로 나타났다.

개인정보 유출·수집 사칭 수법으로는 "계정이 해킹됐다", "계정에 불안정한 활동이 확인됐다", "개인정보 인증이 필요하다"며 이용자의 불안감과 긴급함을 자극해 피싱 링크로의 클릭을 유도했다.

금융기관을 사칭하는 수법으로는 "승인되지 않은 거래가 발생했다"거나 "환급금을 확인하라"는 문구가 대표적이었다. 실제 금융기관에서 온 문자로 착각할만큼 교묘하게 구성된 사례가 많았다. 특정 금융기관명을 언급하며 피싱 링크나 전화번호로 연결을 유도하는 경우가 자주 확인됐다.

기업이나 광고를 사칭한 문구로는 "무료 쿠폰 도착", "이벤트 당첨", "배송 확인 요청" 등이 많았다. 실제 프로모션 문자처럼 보이도록 위장한 것이 특징이다.

사회적 트렌드가 고스란히 스미싱 문자에 반영되기도 했다. 입시 시즌에는 "대학 합격 통보", "교육비 납입 증명서" 등의 문구가 등장했고, 최근에는 '오징어 게임 시리즈' 관련 내용을 활용한 사례도 포착됐다.

카카오뱅크 앱에서는 AI 스미싱 문자 확인 서비스를 통해 의심되는 문자를 복사해 붙여넣기 하면, 문자 유형을 4가지로 분류해 문자의 신뢰도를 판단하는 기준을 제공하고 있다. '스미싱 위험이 높은 문자', '안전한 문자', '단순 스팸 문자', '판단이 불가능한 문자' 등 4가지다.

이는 카카오뱅크 금융기술연구소가 자체 학습한 LLM(거대언어모델)과 고성능 AI 언어모델 '버트(BERT)'를 기반으로 개발한 것으로 지난해 12월 상용화됐다.

카카오뱅크는 신분증 촬영·인식, 안면 인증, 무자각 인증 등 금융 인증·보안 솔루션 개발을 통해 금융 소비자를 보호할 수 있는 역량을 강화하고 있다. '명의도용 방지 서비스', '악성 앱 탐지 서비스', '지연이체 서비스', '입금계좌 지정 서비스' 등 금융사기 피해 예방 서비스를 운영 중이다.

카카오뱅크는 "스미싱 문자는 지속 발생하고 있고, 수법 또한 점점 더 교묘해지고 있어 각별한 주의가 필요하다"며 "조금이라도 의심스러운 문자를 받았을 경우, 카카오뱅크의 AI 스미싱 문자 확인 서비스를 통해 내용을 검증하길 바란다"고 전했다.

한편 한국인터넷진흥원(KISA)은 스미싱 피해 예방을 위해 문자 수신 시 출처가 불분명한 사이트 주소는 클릭하지 말고 즉시 삭제할 것, 의심되는 사이트 주소는 정상 사이트와 일치 여부를 확인할 것, 모바일 결제와 연결될 수 있는 인증번호는 특히 주의할 것 등을 권고하고 있다.

☞공감언론 뉴시스 hacho@newsis.com