“3건 중 1건, 개인정보 유출 사칭”…카카오뱅크 AI로 본 스미싱 진화

카카오뱅크가 최근 6개월간 수집한 3만7000건의 스미싱 문자 분석 결과, ‘개인정보 유출·사칭’ 문구로 악성 링크 클릭을 유도하는 신종 메신저 범죄가 여전히 절대다수를 차지하는 것으로 나타났다. 특히 ‘계정 해킹’, ‘보안 인증’ 등 긴급성을 띈 문구가 이용자의 불안 심리를 자극하며 피해가 자동 전파되고 있어 사회적 경각심이 커지고 있다.

7월 9일 카카오뱅크가 공개한 ‘2025년 상반기 스미싱 문구 유형 통계’ 자료에 따르면, 지난해 12월부터 올해 상반기까지 ‘AI 스미싱 문자 확인’ 서비스에 집계된 스미싱 범죄 중 개인정보 유출·수집 사칭 유형이 전체의 37%로 1위를 기록했다. 금융기관 사칭(19%), 기업·광고 사칭(18%), 청첩·부고 등 지인 사칭(12%), 과태료·단속 사칭(10%)이 뒤를 이었으며, 사회적 이슈나 시즌별 키워드를 응용하는 수법도 지속적으로 발생하고 있다.

카카오뱅크 AI 분석팀은 “계정이 해킹됐다”, “보안 인증을 완료하라” 등 실제 금융기관 또는 지인 명의인 것처럼 위장한 메시지가 악성 링크 접속을 유도한다며, “이용자 경계심 약화가 가장 취약한 지점”이라고 지적했다. 승인되지 않은 거래 안내, 환급금 통지, 무료 쿠폰 제공, 청첩장·부고 알림 등 생활 밀착 정보를 사칭한 스미싱 유형도 다수 포착됐다.

입시, 건강검진, 인기 드라마 등 사회적 관심 키워드나 시즌 이슈를 응용한 수법은 갈수록 정교해지고 있다. 이에 카카오뱅크는 AI 기반의 스미싱 문구 실시간 탐지 서비스를 제공하고 있지만, “스미싱은 기술의 ‘진화’와 이용자 ‘경계’ 사이의 대결”이라는 목소리가 나온다.

한국인터넷진흥원(KISA) 관계자는 “출처 불명 사이트 주소가 포함된 문자는 클릭 즉시 삭제하고, 의심되는 사이트와 정상 사이트 주소를 반드시 비교하라”며, “인증번호 유출은 모바일 결제 사고로 직결될 수 있다”고 주의를 당부했다.

천안시와 경남도 등 지자체, 정부 및 카드사·지방정부 역시 최근 소비쿠폰 관련 대국민 안내에서 “진짜 안내문자는 홈페이지 주소가 포함되지 않는다”고 거듭 강조했다.

ICT업계와 공공기관, 다양한 스타트업들은 AI·보안기술로 스미싱 차단 솔루션을 확산·강화 중이다. 하지만 모바일 보안 앱, 가족 피싱 경고 서비스 등 기술적 보완책만큼이나, 개별 이용자의 ‘한번 더 확인하는 습관’이 피해 예방에 결정적이라는 점도 재차 확인된다.

스미싱 위험이 일상화된 상황에서 “기술과 경각심의 결합”이 범죄 차단의 해법임을 전문가들은 강조한다. 구조화된 범죄 수법에 대응하는 규제와 이용자 주의, 이 두 가지 축 모두의 지속적 점검이 요구되고 있다. 경찰과 인터넷진흥원 등 관계 당국은 스미싱 범죄에 대한 홍보와 예방 안내를 강화할 계획이다.