허프포스트코리아

"[00증권] 출금 안내 ■계좌번호: ****70 ■출금금액: 7,000,000원 ■내용: 출금(NO.2) 본인 신청이 아니면 신고해 주세요 https://***.c***.pw"

이는 피싱 문자 공격에서 가장 많이 보이는 유형을 조합한 것이다. 대부분의 피싱 공격이 금융기관을 사칭해 긴급한 순간을 꾸민 뒤 URL 클릭을 유도한다.

안랩은 '2026년 1분기 피싱 문자 트렌드 보고서'를 발표하고 다양한 피싱 시도 방식을 분석한 결과를 16일 공개했다.

아차 하고 누른 순간 빠져나간다, '긴급·출금·과태료' 자극적 키워드 동원한 피싱 공격 수법 1위는 '링크 삽입' — 대부분의 피싱 공격이 금융기관을 사칭해 긴급한 순간을 꾸민 뒤 URL 클릭을 유도한다. 사진은 이해를 돕기 위해 AI로 생성한 이미지. ⓒ허프포스트코리아

올해 1월부터 3월까지 가장 기승을 부린 피싱 공격 유형은 '금융기관 사칭'으로, 전체 유형의 53.62%를 차지했다.

이 유형은 금융 계좌 정보를 노리는 것이 특징이다. 공격자는 출금 안내 등의 키워드로 불안감을 자극한다. 문자에 신고 절차를 적어놓고 접촉을 유도한 뒤 금융 및 개인 정보를 요구하는 방식이다.

금융기관 사칭 외에 다른 공격 유형으로 대출 사기(18.72%), 정부·공공기관 사칭(8.49%), 텔레그램 사칭(7.95%), 구인 사기(5.69%) 등이 자주 관찰됐다.

대출 사기형은 수신자가 특별한 금융 혜택 대상이 된 것처럼 인식하게 만드는 것이 핵심이다. 저금리, 긴급 승인, 맞춤형 금융 지원과 같은 문구로 속인다.

정부기관 사칭 유형은 불이익이 발생할 수 있는 상황을 강조한다. 공신력 있는 기관을 사칭해 과태료, 범칙금, 법규 위반 통지 등의 문구로 즉각적 대응을 유도한다.

텔레그램 사칭 유형은 계정 확인 요청이나 인증 안내처럼 짧고 단순한 문구를 활용한다. 메시지 자체는 간결하지만, 계정 문제라는 민감한 상황을 암시해 긴장감을 높이고 자연스럽게 URL 클릭을 유도한다.

구인 사기형은 재택근무, 고수익 아르바이트, 당일 지급 등의 문구를 활용해 경제적 관심을 자극하는 방식으로 접근한다. 근무 조건, 급여, 지원 절차를 상세히 제시해 정상적인 채용 공고처럼 보이도록 구성하면서 URL을 반복적으로 노출해 자연스럽게 클릭을 유도한다.

택배사 사칭(2.74%), 공모주 청약 위장(0.91%), 청첩장 위장(0.69%), 부고 위장(0.60%), 가족 사칭(0.59%)도 흔치 않은 수법으로 꼽힌다.

피싱 시도 방식 1위는 'URL 삽입'으로 전체의 81.36%를 차지했다. 모바일 메신저 유인(9.18%), 전화 유도(8.59%), 문자 유도(0.86%)가 뒤를 이었다.

안랩 관계자는 "피싱 문자로 인한 피해를 예방하기 위해서는 불분명한 발신자가 보낸 URL을 클릭하지 말아야 한다"며 "의심스러운 전화번호는 평판을 확인하고 업무·일상에 불필요할 경우 국제 발신 문자 수신을 차단하거나 스마트폰 보안 제품을 설치하는 등 기본적 보안 수칙을 준수해야 한다"고 말했다.