| 스마트에프엔 = 양대규 기자 | 안랩은 2025년 2분기(4~6월) 동안 탐지한 피싱 문자의 주요 유형과 특징을 분석한 ‘피싱 문자 트렌드 보고서’를 발표했다고 31일 밝혔다. 이번 보고서는 안랩이 자체 구축한 AI 플랫폼을 기반으로 탐지한 데이터를 바탕으로 작성됐다.
가장 많이 발견된 공격 유형은 ‘청첩장 위장’으로 전체의 28.10%를 차지했으며, 전 분기 대비 1189% 급증했다.
안랩은 결혼식이 많은 봄철을 노린 공격이 급증한 것으로 분석했다. 공격자는 모바일 청첩장으로 위장한 URL을 문자에 포함시켜 사용자를 피싱 사이트로 유도하고, 이미지 등 페이지 요소에 악성 앱 설치 링크를 숨겨 개인정보를 탈취한다. 이를 통해 피해자의 연락처 등 정보를 확보한 뒤, 더욱 정교한 2차 피싱 공격을 시도할 수 있어 주의가 요구된다.
그 밖에도 구인공고 위장(18.69%), 금융기관 사칭(15.03%), 대출 상품 안내(14.66%), 텔레그램 사칭(10.71%) 등의 유형이 뒤를 이었다. 사칭 대상 산업군으로는 금융이 15.16%로 가장 많았고, 정부 및 공공기관(4.86%), 물류(2.03%) 등이 뒤를 이었다. 특히 기타 산업군이 77.95%에 달해, 특정 업종에 국한되지 않고 일상생활 전반을 겨냥한 피싱 시도가 확대되고 있음을 보여준다.
피싱 문자에 사용된 수법 가운데서는 ‘URL 삽입’이 전체의 67.37%로 가장 많이 쓰였다. 이는 사용자의 호기심이나 불안 심리를 자극해 링크를 클릭하게 만드는 전형적인 수법이다. 이어 모바일 메신저로의 유도(13.10%)나 전화를 통한 접근(12.65%) 방식도 여전히 빈번하게 활용되고 있는 것으로 나타났다.
안랩은 이러한 피싱 문자로 인한 피해를 예방하기 위해 몇 가지 보안 수칙을 제시했다. 출처가 불분명한 URL은 클릭하지 말고, 의심스러운 전화번호는 검색 등을 통해 평판을 확인하며, 필요하지 않다면 국제 발신 문자의 수신을 차단하는 것이 좋다. 또한, V3 모바일 시큐리티와 같은 모바일 보안 앱을 설치해두는 것도 피해 예방에 도움이 된다.
안랩 관계자는 “피싱 문자 공격은 계절적 이슈, 사회적 관심사 등 사용자의 일상과 밀접한 주제로 심리적 허점을 파고드는 것이 특징”이라며 “최신 유행하는 피싱 문자 사례를 숙지하고, 의심되는 URL은 클릭하지 않는 등 기본적인 보안 수칙을 지키는 것만으로도 피해를 줄일 수 있다”고 말했다.