[서울=뉴시스] 신효령 기자 = "고객님, 해외에서 198만원이 결제되었습니다. 본인이 아니면 신고 바랍니다."

지난해 4분기 스마트폰 사용자들을 가장 괴롭힌 스팸 문자는 금융기관을 사칭한 '가짜 결제 알림'인 것으로 나타났다. "카드가 발급됐다", "고액 결제가 발생했다"는 내용으로 이용자의 불안을 자극해 전화를 걸거나 링크를 누르게 하는 수법이 급증했다.

안랩이 5일 발표한 '2025년 4분기 피싱 문자 트렌드 보고서'에 따르면, 작년 4분기 가장 기승을 부린 공격 유형은 '금융기관 사칭(46.93%)'으로 전체의 절반에 육박했다. 이어 정부·공공기관 사칭(16.93%), 구인 사기(14.40%), 텔레그램 사칭(9.82%) 등이 뒤를 이었다.

특히 금융기관을 사칭한 문자는 직전 분기 대비 343.6% 급증했다. 공격자들은 '카드 발급 완료', '해외 결제 내역' 등의 문구로 이용자를 놀라게 한 뒤, 확인을 위해 전화를 걸거나 URL을 클릭하도록 유도했다. 이후 가짜 고객센터로 연결해 개인정보를 빼내거나 악성 앱 설치를 유도하는 방식이다.

산업군별로 보면, 정부·공공기관 사칭(10.16%)이 가장 높은 비중을 차지했다. 금융기관 사칭은 은행명을 직접 쓰기보다는 '대출', '승인' 등 일반적인 금융 용어를 사용하는 경우가 많아 산업군 통계에서는 2위(4.53%)에 그쳤다. 이는 특정 기관이 아닌 '상황 자체'를 위장해 불특정 다수를 노리는 전략으로 분석된다.

피싱 방식은 여전히 URL 클릭 유도가 압도적이었다. 전체의 98.89%가 문자에 악성 링크를 포함하고 있었으며, 카카오톡 등 메신저로 유도하는 사례는 1.11%에 불과했다.

안랩은 피해를 막기 위해서는 출처가 불분명한 URL 클릭 금지, 국제 발신 문자 차단 설정 등 기본 보안 수칙을 생활화해야 한다고 당부했다.

안랩 관계자는 "피싱 공격은 금전, 구직, 명절 등 사람들의 불안을 자극하는 이슈를 노려 끊임없이 진화하고 있다"며 "설 연휴를 앞두고 가족이나 지인에게 '국제 발신' 문자를 조심하라고 알리는 등 각별한 주의가 필요하다"고 말했다.


◎공감언론 뉴시스 snow@newsis.com