* 출처는 안랩입니다.

스미싱은 일상적인 문자 메시지를 가장해 개인정보와 금융정보를 탈취하는 대표적인 모바일 피싱 위협이다. 스미싱은 금융·정부 기관, 지인 등을 사칭해 사용자의 경계심을 낮추는 방식으로 이루어지며, 최근에는 개인의 상황과 심리를 반영한 맞춤형 문구를 활용하는 등 공격 수법이 정교해지고 있다.

안랩이 2025년 4분기 동안 탐지한 스미싱 사례를 분석한 결과, 금융기관 사칭과 대출 사기 유형이 크게 증가하며 공격 양상에 뚜렷한 변화가 나타났으며, 청첩장, 구인, 공모주 사칭 등 기존에 자주 사용되던 수법은 전반적으로 감소세를 보였다. 이번 보고서는 실제 탐지된 악성 문자를 기반으로 2025년 4분기 스미싱 위협 동향과 주요 특징을 분석한다.

2025년 4분기 피싱 문자 통계

2025년 4분기에는 금융기관 사칭(46.93%)이 가장 높은 비중을 차지했다. 이어 정부기관 사칭(16.93%), 구인 사기(14.40%), 텔레그램 사칭(9.82%) 순으로 나타나 주요 공격 유형으로 확인됐다. 이외에도 대출 사기(5.87%)와 택배 사칭(3.32%)이 뒤를 이었으며, 부고·공모주·청첩장가족 사칭 유형은 비교적 낮은 비율을 기록했다.

전분기(2025년 3분기) 대비 변화도 뚜렷했다. 특히 대출 사기(+428.4%)와 금융기관 사칭(+343.6%)이 크게 증가하며 4분기 상승세를 주도했다. 이와 함께 부고 위장(+52.9%)과 택배 사칭(+4.3%)도 증가한 것으로 나타났다. 반면 청첩장 위장(-87.3%), 구인 사기(-57.3%), 공모주 사칭(-50.0%), 텔레그램 사칭(-49.2%)은 감소했고, 정부 기관 사칭(-26.1%)과 가족 사칭(-20.0%)도 전분기 대비 줄어든 것으로 집계됐다.

[그림 1] 2025년 4분기 분류 별 피싱 문자 비율

2025년 4분기 스미싱 유형별 사례 및 특징

스미싱은 문자 메시지를 통해 사용자를 속인 뒤 악성 링크 클릭, 피싱 페이지 접속, 개인정보 입력, 악성 앱 설치 등을 유도하는 방식으로 이뤄진다. 2025년 4분기에는 특히 ‘공식 안내처럼 보이게 만들고, 불안·긴급함을 자극해 즉시 행동하게 하는’ 패턴이 두드러졌다.

1) 금융 기관 사칭

금융기관 사칭 피싱 문자는 “카드 개통·신청 완료”처럼 짧은 안내 문구로 시작해, 본인이 진행하지 않았다면 즉시 신고하거나 문의하라며 불안감을 자극한다. 실제 사례에서도 금융사 명칭과 연락처를 함께 제시해 정상 안내처럼 보이도록 문자가 작성된다. 사용자가 안내된 번호로 연락하면 공격자는 상담원을 사칭해 추가 확인 절차를 내세우며 개인정보나 인증정보 제공을 요구하는 경우가 많다. 문장이 간결하고 공식적인 어투라 실제 금융 알림과 구분이 어렵다는 점이 특징이다.

[표 1] 금융 기관 사칭 피싱 문자 예시

2) 정부기관 사칭

정부기관 사칭 피싱 문자는 법령 위반 통지, 행정 문서 확인, 점검 안내 등 공공기관 안내처럼 보이는 표현으로 링크 클릭을 유도하는 사례가 많다. 실제로도 “통지서가 전송되었습니다”와 같은 문구로 위장해 URL 접속을 유도하는 형태가 확인된다. 메시지 속 링크는 기관 홈페이지와 유사해 보이지만 실제로는 피싱 페이지로 연결돼 개인정보 입력 또는 악성 APK 다운로드로 이어질 수 있다. 정부기관의 신뢰도를 악용해 사용자의 경계심을 낮춘다는 점이 대표적인 특징이다.

[표 2] 정부기관 사칭 피싱 문자 예시

[그림 2] 정부기관 사칭 피싱 사이트

* 전체내용은 아래에서 확인하세요.