지난해 대한민국을 강타한 주요 통신사 등 대기업과 커머스 플랫폼의 연쇄 해킹 사고가 단순한 개인정보 유출을 넘어 서민 금융 자산을 정밀 타격하는 '지능형 피싱 범죄'의 기폭제가 된 것으로 나타났다.
인공지능(AI) 보안기업 에버스핀(대표 하영빈)은 악성앱 탐지 솔루션 '페이크파인더(FakeFinder)'의 2025년 데이터를 정밀 분석한 결과, 지난해 발생한 대규모 데이터 유출 사태가 피싱 범죄의 체질을 완전히 바꿔놓았다고 26일 밝혔다.
분석 데이터에 따르면 지난해 전체 악성앱 탐지 건수는 92만4천419건으로 전년(104만건) 보다 약 11% 감소했다. 에버스핀은 이를 긍정적 신호가 아닌 '위협의 고도화'로 진단했다. 해킹으로 확보한 실명·전화번호·상세 구매 이력 등의 데이터가 해커들에게 '확실한 타겟팅'과 '공격 가이드라인'을 제공했기 때문으로 분석했다.
에버스핀 고나계자는 “과거에는 불특정 다수에게 무작위로 앱 설치를 유도하는 '양적 공세'가 주를 이뤘다면, 지난해에는 유출된 정보를 바탕으로 '속을 수밖에 없는 사람'만 골라 공격하는 '질적 타격'으로 범죄 양상이 급변했다”고 설명했다.
세부 유형별 데이터를 보면 이러한 흐름이 더욱 명확하게 드러난다. 전통적인 보이스피싱 수단인 '전화 가로채기' 유형이 전년 대비 24.1% 감소(37만→28만건) 했고, 단순한 '사칭 앱' 역시 30% 감소(45만→32만건) 하며 하락세를 보였다. 이는 "검찰입니다" 식의 전화나 뻔한 기관 사칭에는 사용자들이 더 이상 쉽게 속지 않음을 보여준다.
반면에 스마트폰 내 민감 정보를 털어가는 '개인정보 탈취' 유형 악성앱은 전년 보다 53% 증가한 32만건으로 늘어나 최대 위협으로 부상했다.
에버스핀은 유출된 개인정보를 실제 범죄에 악용하기 위한 필수 수순으로 진단했다. 해킹으로 확보한 정보만으로는 금융사의 2차 인증 등을 뚫는데 어려움이 있기 때문에 '문자 인증번호'와 '신분증 이미지' 등 좀 더 완전한 정보까지 확보하기 위해 악성앱을 통해 개인정보를 탈취했다는 방증이다.
실제로 공격자들은 유출된 상세 주문 내역을 미끼로 ‘배송지 오류 수정’ 등을 요구하며 접근한 뒤, 피해자의 의심을 피하며 앱을 설치하도록 했다. 이렇게 침투한 악성앱은 통화 기능보다는 문자 메시지·연락처·사진첩 등 권한을 탈취해 금융 인증을 우회할 수 있는 데이터를 수집하는 데 집중됐다.
에버스핀 관계자는 "지난해 해킹 대란은 해커들에게 '어떤 앱을 만들어야 범죄가 성공할지' 알려준 가이드라인과 같았다"며 "해킹으로 확보한 1차 데이터를 기반으로, 2차 핵심 정보를 탈취하기 위해 설계된 '정보 탈취 앱'이 기승을 부린 한 해"라고 설명했다. 이 관계자는 "개인이 문자의 진위를 가려내기엔 한계에 다다른 만큼, 금융사들이 도입한 페이크파인더와 같은 전문 보안 기술이 서민들의 자산을 지키는 필수 안전장치가 되고 있다"고 강조했다.
관련기사
- 쿠팡, 개인정보 유출 관련 추가 공지…"새 유출 없어, 2차 피해 주의 당부"2025.12.07
- 피싱방지 앱 1위 에버스핀 ‘페이크파인더’, ISMS로 공급망 보안 강화 해법 부상2025.11.20
- BTS 정국도, 유튜버도 당한 명의도용 피해, ‘아이디펜더’ 하나면 걱정 끝2025.09.04
- SKT 유심 해킹이후 유출 개인정보 악용 보이스피싱 시도 기승2025.05.26
이번 발표의 근거가 된 데이터는 KB국민은행·카카오뱅크·한국투자증권·신한투자증권·KB국민카드·우리카드·DB손해보험·SBI저축은행·저축은행중앙회 등 국내 주요 금융사 대다수가 페이크파인더를 사용하면서 축적된 결과다. 에버스핀은 상세 분석을 담은 리포트는 오는 2월 중 에버스핀 홈페이지를 통해 발표할 예정이다.
한편, 에버스핀은 2025 SW대상·대통령상 수상·일본 SBI그룹 통합계약 등 고성장하는 보안기업으로 자리매김하고 있으며, 지난해 추산 매출액 130억원 이상을 기록하며 전년 대비 50% 매출 신장을 눈앞에 두고 있다고 전했다.
