“카드 발급 완료”…이런 피싱 수법이 작년 절반

안랩이 지난해 4분기(10~12월) 탐지·분석한 피싱 문자 동향을 공개했다. 금융기관을 사칭한 문자 공격이 급증했고, 대부분의 공격은 여전히 URL 삽입 방식에 의존한 것으로 나타났다. 공격 수법은 단순하지만 사용자의 불안 심리를 자극해 피해로 이어질 가능성이 크다.

5일 안랩은 에이전틱 인공지능(AI) 기반 보안 플랫폼 ‘안랩 AI 플러스(AhnLab AI PLUS)’로 수집한 데이터를 바탕으로 ‘2025년 4분기 피싱 문자 트렌드 보고서’를 발표했다. 보고서에 따르면 4분기 피싱 문자 공격 유형 가운데 ‘금융기관 사칭’이 46.93%로 가장 큰 비중을 차지했다. 이는 직전 분기 대비 343.6% 증가한 수치다. ‘카드 발급 완료’ ‘거래 내역 알림’ 등을 가장해 이용자의 불안을 자극한 뒤, 본문에 피싱 사이트 주소나 가짜 고객센터 번호를 넣어 개인정보 입력을 유도하는 방식이 대표적이다.

이어 정부·공공기관 사칭(16.93%), 구인 사기(14.40%), 텔레그램 사칭(9.82%), 대출 사기(5.87%), 택배사 사칭(3.32%) 등이 뒤를 이었다.

그래픽=조선디자인랩 정다운

사칭 산업군을 기준으로 보면 정부·공공기관이 10.16%로 1위를 기록했고, 금융기관(4.53%), 물류(1.04%) 순이었다. 다만 ‘기타’가 84%를 넘어서며, 특정 기관명이나 인물을 내세우기보다 법 위반 통지·부고 안내 등 상황 자체를 위장하는 범용적 공격이 늘었다.

피싱 시도 방식은 URL 삽입이 98.89%로 대부분을 차지했다. 모바일 메신저로의 유인은 1.11%에 그쳤다. 성공이 검증된 URL 기반 공격을 지속적으로 고도화하고 있다는 분석이다.

안랩은 피해 예방을 위해 출처가 불분명한 문자 속 URL을 클릭하지 말고, 의심스러운 번호의 평판을 확인하라고 조언했다. 또 불필요한 국제 발신 문자는 차단하고, 스마트폰 보안 제품을 설치하는 방법도 권고했다. 안랩 관계자는

“금전·구직 등 관심도가 높은 이슈나 사용자의 일상과 밀접한 계절적 소재를 활용하기 때문에 작년과 유사한 패턴이 올해에도 이어질 수 있다”며 “설 연휴를 앞두고 가족과 지인에게 대표적인 피싱 수법을 미리 공유하며 경각심을 높이는 것만으로도 피해를 크게 줄일 수 있다”고 말했다.