▲ (자료=안랩 제공)

안랩은 다양한 피싱 문자를 탐지·분석한 결과를 담은 '2025년 4·4분기 피싱 문자 트렌드 보고서'를 5일 발표했다. 피싱 문자는 지난해 10월부터 12월까지 에이전틱 인공지능(AI) 기반 보안 플랫폼 '안랩 AI 플러스'로 분석했다.

지난해 4·4분기 가장 많이 발생한 피싱 문자 공격 유형은 금융기관 사칭(46.93%)이다. 이어 △정부·공공기관 사칭(16.93%) △구인 사기(14.40%) △텔레그램 사칭(9.82%) △대출 사기(5.87%) △택배사 사칭(3.32%) △부고 위장(1.47%) △공모주 청약 위장(0.70%) △청첩장 위장(0.39%) △가족 사칭(0.17%) 순서로 집계됐다.

금융기관 사칭은 직전 분기 대비 높은 증가율(343.6%)을 기록했다.

카드 발급 완료 안내, 거래 내역 알림 등을 내세워 직접 신청·결제하지 않은 내역일 경우 즉시 신고하라는 문구로 사용자의 불안 심리를 자극하는 사례가 대표적이다. 문자 본문에 피싱 사이트 링크나 가짜 고객센터 전화번호를 넣고 신고 절차를 가장해 개인정보를 요구하는 수법이다.

피싱 문자 공격자가 사칭한 산업군 비중은 △정부·공공기관(10.16%) △금융기관(4.53%) △물류(1.04%) △기타(84.24%) 순으로 나타났다. 금융기관 사칭은 특정 금융사를 직접 언급하기보다 금융 관련 키워드만 활용한 사례가 많아 사칭 산업군 별 통계에서는 2위에 머물렀다. 기타 산업군 사칭이 전체의 80% 이상을 차지한다는 점을 보면 공격자들은 특정 기관이나 인물을 사칭하는 것보다 범용적인 상황 위장형 공격으로 전략을 확장하고 있다.

피싱 시도 방식은 URL 삽입이 98.89%로 압도적이다. 모바일 메신저로 유인하는 수법은 1.11%에 그쳤다.

피해를 예방하기 위해서는 △불분명한 송신자가 보낸 URL 클릭 금지 △의심스러운 전화번호의 평판 확인 △업무·일상에 불필요할 경우 국제 발신 문자 수신 차단 △스마트폰 보안 제품(V3 모바일 시큐리티) 설치 등 기본적인 보안 수칙을 준수해야 한다.

안랩은 "피싱 문자 공격은 금전·구직 등 관심도가 높은 이슈나 사용자의 일상과 밀접한 계절적 소재를 활용하기 때문에 작년과 유사한 패턴이 올해에도 이어질 수 있다"며 "설 연휴를 앞둔 만큼 가족과 지인에게 대표적인 피싱 수법을 미리 공유하며 경각심을 높인다면 피해를 충분히 예방할 수 있을 것"이라고 말했다.