굿모닝작전
소비자의 개인정보를 무단 탈취하려는 스미싱(SMS+Phishing·문자메시지를 통한 피싱)의 3건 중 1건은 개인정보가 유출됐거나 수집이 필요하다는 내용인 것으로 파악됐다. 청첩장이나 부고를 사칭하는 스미싱도 많았다.
인터넷은행 카카오뱅크는 이 같은 내용의 ‘2025년 상반기 스미싱 문구 유형 통계’를 발표했다. 카카오뱅크는 'AI 스미싱 문자 확인' 서비스로 올해 상반기에 접수된 약 3만7000건의 스미싱 데이터를 기반으로 이번 분석 결과를 공개했다.
카카오뱅크가 작년 12월 출시한 'AI 스미싱 문자 확인' 서비스는 카카오뱅크 앱에 의심되는 문자를 복사해 붙여넣으면 △스미싱 위험이 높은 문자 △안전한 문자 △단순 스팸 문자 △판단이 불가능한 문자 등 네 가지 유형으로 분류해 문자의 신뢰도를 판단하는 기준을 제공하는 서비스다.
분설 결과 스미싱의 가장 큰 비중을 차지하는 문구 유형은 ‘개인정보 유출·수집 사칭’(37%)으로 조사됐다. 이어 △금융기관 사칭(19%) △기업 및 광고 사칭(18%) △청첩·부고 등 지인 사칭(12%) △과태료·범칙금 등 단속 사칭(10%) △기타(4%) 순으로 나타났다.
가장 큰 비중을 차지한 ‘개인정보 유출·수집’ 사칭 수법에는 “계정이 해킹됐으니 차단을 위해 링크를 클릭하라”, “계정에 불안정한 활동이 확인됐다. 보안 인증을 완료하라”, “개인정보 인증이 필요하다” 등 이용자의 불안감을 자극하는 문구가 주로 사용됐다.
2위를 차지한 ‘금융기관 사칭’ 스미싱 유형의 대표적 사례로는 “승인되지 않은 거래가 발생했다”, “환급금을 확인하라”는 문구가 포함된 메시지가 꼽혔다. 특정 금융기관명을 언급하며 피싱 링크나 전화번호로 연결을 유도하는 경우가 자주 확인됐다는 게 카카오뱅크의 설명이다.
“무료 쿠폰 도착”, “이벤트 당첨”, “배송 확인 요청” 등 기업이나 광고를 사칭한 문구도 조심해야 한다. 입시 시즌에는 ‘대학 합격 통보’나 ‘교육비 납입 증명서’ 등과 같은 문구가 등장했다. '건강검진 결과통보' 등 평상시 관심이 높은 문구로 이용자를 유인하기도 했다.
한국인터넷진흥원(KISA)은 스미싱으로 인한 피해를 예방하기 위해 △문자 수신 시 출처가 불분명한 사이트 주소는 클릭하지 말고 즉시 삭제할 것 △의심되는 사이트 주소는 정상 사이트와 일치 여부를 반드시 확인할 것 △휴대폰 번호, 아이디, 비밀번호 등 개인정보는 신뢰할 수 있는 사이트에만 입력하고, 인증번호는 모바일 결제와 연결될 수 있으므로 특히 주의할 것을 권고하고 있다.
정의진 기자 justjin@hankyung.com
