[엠투데이 이세민 기자] 카카오뱅크(대표 윤호영, Daniel)는 올해 상반기 동안 자사 'AI 스미싱 문자 확인' 서비스를 통해 수집된 약 3만 7,000건의 스미싱 의심 데이터를 분석해 '2025년 상반기 스미싱 문구 유형 통계'를 발표했다. 

이번 통계는 점점 더 정교해지는 피싱 수법에 대응하기 위한 고객 보호의 일환으로, 카카오뱅크 AI 데이터사이언스팀이 주요 키워드를 추출하고 유형별 빈도수를 분석해 도출한 결과다.

통계에 따르면, 올해 상반기 가장 많이 사용된 스미싱 수법은 '개인정보 유출,수집 사칭' 유형으로 전체의 37%를 차지했다.

"계정이 해킹됐다", "보안 인증이 필요하다", "개인정보 확인을 위해 링크를 클릭하라"는 등 긴박감과 불안 심리를 자극하는 문구가 다수 확인됐다.

뒤를 이어 금융기관 사칭(19%), 기업 및 광고 사칭(18%), 지인 사칭(청첩/부고 등)(12%), 단속기관 사칭(과태료/범칙금)(10%) 순으로 나타났다.

이 중 금융기관 사칭 유형은 "승인되지 않은 거래 발생", "환급금 확인" 등 실제 금융서비스 이용 환경과 유사한 문구를 사용해 사용자 혼동을 유도하는 방식이 주를 이뤘다. 

특정 은행이나 카드사명을 명시하고 링크 또는 전화번호 클릭을 유도하는 사례가 다수 확인됐다.

기업 이벤트나 광고를 사칭한 문구는 "무료 쿠폰 도착", "이벤트 당첨", "택배 배송 확인" 등의 내용으로, 실제 마케팅 문자처럼 보이도록 조작된 것이 특징이다.

청첩장이나 부고 알림을 위장한 메시지, 단속기관을 사칭해 과태료 납부를 유도하는 문구 등 전통적인 수법도 여전히 다수 사용되며 꾸준히 탐지되고 있다.

이번 통계에서는 스미싱 유포자들이 사회적 이슈와 관심 키워드를 적극적으로 활용하는 경향도 드러났다. 

입시 시즌에는 "합격 통보", "교육비 납입 증명서" 등의 문구가 등장했고, 인기 콘텐츠인 '오징어게임' 관련 메시지나 '건강검진 결과 통보' 등 일상적이지만 클릭을 유도할 수 있는 문구가 포함된 사례도 다수 포착됐다.

카카오뱅크는 지난해 12월부터 자사 앱을 통해 'AI 스미싱 문자 확인' 서비스를 운영 중이다. 

사용자가 수신한 문자를 복사해 앱에 붙여넣으면, AI가 해당 문자를 스미싱 위험이 높은 문자, 안전한 문자, 단순 스팸, 판단 불가로 분류해 신뢰도를 알려주는 방식이다.

카카오뱅크는 "스미싱 수법이 점점 더 지능화되고 있어 사용자들의 경각심과 사전 대응 능력이 필수적"이라며, "조금이라도 의심이 드는 문자를 받았을 경우, 'AI 스미싱 문자 확인'을 통해 즉시 확인할 것을 권장한다"고 전했다.

한편, 한국인터넷진흥원(KISA)은 스미싱 피해 예방을 위해 출처 불명 사이트 주소 클릭 금지, URL 진위 여부 확인, 개인정보 및 인증번호 입력 자제 등의 기본 수칙을 지킬 것을 당부했다.