문제는 문자 그 자체가 아니라, 링크를 누른 다음에 벌어지는 일이다. 스미싱 문자 한 통의 링크를 누르는 순간 휴대폰에는 악성 앱이 깔리고, 그 앱은 문자·연락처·인증번호를 빼내고 화면을 원격에서 조종한다. 폰은 그때부터 주인의 것이 아니라 공격자의 도구, 이른바 ‘좀비폰’이 된다. 스미싱 예방이 ‘수상한 문자를 지우는 습관’을 넘어 계정 방어의 문제인 이유가 여기 있다.
규모는 이미 통제선을 넘었다. 경찰청 집계로 2025년 1월부터 10월까지 보이스피싱 피해액은 1조566억 원으로, 연간 기준 사상 처음 1조 원을 넘어섰다. KISA가 탐지한 스미싱 문자는 2022년 3만7천여 건에서 2024년 219만 건으로 2년 만에 약 60배로 불었다. 청첩장·부고장을 가장한 지인 사칭 미끼문자만 2024년 1월부터 9월까지 24만여 건이 잡혔다. 남의 이야기로 넘기기엔 문자함에 이미 매달 몇 통씩 들어와 있는 수준이다.
방어는 세 방향으로 세운다. 실제로 오는 문자·전화가 어떤 모양인지 알아보는 눈, 명의와 계좌를 미리 잠가 두는 사전 차단, 그리고 이미 당했을 때 돈이 빠져나가기 전에 끊는 골든타임 대응이다. 그리고 정작 뚫리는 자리는 대개 본인이 아니라 판단이 느린 부모님과 바쁜 배우자의 휴대폰이라, 이 방어는 폰 한 대가 아니라 가족 단위로 세워야 한다.
나도 얼마 전 부모님에게서 “택배가 안 왔다는 문자가 왔는데 눌러도 되냐”는 전화를 받고 나서야 이 일을 미뤄선 안 되겠다고 생각했다. 두 아이를 키우다 보니 부모님 폰이 뚫리면 그 여파가 결국 온 가족에게 돌아온다는 걸 안다. 그날 저녁 부모님 폰과 내 폰을 나란히 놓고 한 시간 정도 손을 봤고, 그때 밟은 순서를 그대로 옮긴다.
스미싱이 무서운 건 문자가 아니라 그다음이다
스미싱(smishing)은 문자메시지(SMS)와 피싱(phishing)을 합친 말로, 문자로 가짜 상황을 만들어 링크를 누르게 하는 수법이다. 핵심은 링크 뒤에 있다. 그 링크는 대개 정상 앱을 흉내 낸 설치 파일(APK)이나 가짜 로그인 페이지로 이어진다. 사용자가 무심코 설치를 허용하는 순간, 악성 앱은 문자 읽기·연락처·전화·화면 접근 권한을 한꺼번에 요구하고, 승인되면 그 폰은 사실상 공격자의 원격 단말이 된다.
좀비폰이 되면 피해는 세 방향으로 번진다. 첫째, 폰에 오는 모든 문자를 공격자가 실시간으로 읽으므로 은행·거래소가 보내는 인증번호가 그대로 넘어간다. 둘째, 저장된 연락처로 똑같은 미끼문자가 발송돼 지인과 가족에게 2차, 3차로 확산된다. 부고장·청첩장 스미싱이 무섭게 퍼지는 이유가 이것이다. 받는 사람 입장에선 진짜 지인 번호로 온 문자라 의심이 풀린다. 셋째, 공격자는 원격에서 소액결제를 걸거나 저장된 금융 앱에 접근을 시도한다.
공격 경로는 링크에 집중돼 있다. 2026년 1분기 스미싱 분석에서 URL을 포함한 유형이 전체의 81%를 차지했다. 뒤집으면, 문자 본문의 링크를 누르지 않는 것만으로 대부분의 스미싱이 무력화된다는 뜻이다. 모든 방어의 출발점은 정교한 필터링 앱이 아니라 ‘본문 링크는 누르지 않는다’는 단순한 원칙이다.
좀비폰이 더 까다로운 건 티가 잘 나지 않는다는 점이다. 악성 앱은 아이콘을 숨기거나 정상 앱 이름을 흉내 내 설치 목록에 섞여 있고, 배터리가 평소보다 빨리 닳거나 데이터 사용량이 는다는 정도의 흔적만 남긴다. 여기에 통화 가로채기 기능까지 심어지면, 피해자가 은행이나 경찰에 확인 전화를 걸어도 그 통화가 사기범에게 연결되도록 조작되기도 한다. 진짜 대표번호를 눌렀는데 받는 사람은 사기범인 것이다. 그래서 감염이 의심될 때 같은 폰으로 확인 전화를 거는 건 위험하고, 반드시 다른 기기로 알아봐야 한다.
지금 한국 문자함에 실제로 오는 유형
스미싱은 유행을 탄다. 공격자는 사람들이 지금 무엇을 기다리는지를 파고든다. 택배를 기다리면 배송 문자를, 명절과 결혼 시즌엔 안부와 청첩장을, 세금 신고 철엔 과태료와 환급을 흉내 낸다. 2026년 들어 두드러진 흐름은 금융기관 사칭과 대출 사기다. 2026년 1분기 스미싱에서 금융기관 사칭이 53.6%, 대출 사기가 18.7%를 차지했고, 대출 사기 유형은 전분기 대비 200% 넘게 급증했다. 자주 마주치는 유형은 미끼 문구도, 노리는 것도 조금씩 다르다.
| 유형 | 대표 미끼 문구 | 실제 노림수 |
|---|---|---|
| 택배 사칭 | “배송 실패, 주소지 확인 요망” | 링크 클릭 → 악성 앱 설치 |
| 기관 사칭 | “교통 과태료 고지” “법원 등기 도착” “건강검진 안내” | 링크·상담 전화로 유도 |
| 지인 사칭 미끼문자 | “[모바일 청첩장]” “부고를 전합니다” | 링크 클릭 → 좀비폰·2차 확산 |
| 대출·정부지원 사칭 | “저금리 대환대출 승인” “정책자금 대상자” | 앱 설치·개인정보·수수료 편취 |
| 구인 사기 | “재택 고수익, 당일 지급 알바” | 개인정보·계좌 탈취(대포통장) |
유형은 계속 바뀌어도 뼈대는 하나다. 급한 상황을 만들어 생각할 틈을 빼앗고, 링크나 전화라는 단 하나의 행동으로 몰아간다. “지금 확인하지 않으면 반송됩니다” “오늘까지 납부하지 않으면 가산세” 같은 시간 압박이 붙어 있다면, 그 압박 자체가 스미싱의 신호다. 진짜 기관은 문자 한 통으로 즉시 결제나 앱 설치를 요구하지 않는다. 계절과 사건을 따라 소재만 갈아 끼울 뿐 낚싯바늘의 모양은 그대로라, 이 뼈대만 기억하면 처음 보는 유형이 와도 당황하지 않는다.
보이스피싱은 문자보다 정교한 각본이다
스미싱이 링크로 낚는다면, 보이스피싱은 통화로 사람을 몰아세운다. 그리고 지금 한국에서 돈이 가장 크게 빠져나가는 통로는 기관 사칭형이다. 2025년 기관 사칭형 보이스피싱 피해액은 8,186억 원으로 전체 피해액의 약 80%를 차지했다. 2016년 541억 원이던 것이 10년도 안 돼 15배로 불었다. 검찰·경찰·금융감독원을 사칭해 “당신 명의가 범죄에 연루됐다”며 겁을 주고, 통화를 끊지 못하게 붙든 채 시키는 대로 움직이게 만드는 방식이다.
이 각본의 핵심 장치가 원격제어 앱이다. 사기범은 “휴대폰이 악성코드에 감염됐는지 점검해 주겠다”거나 “안전한 계좌로 자금을 옮겨야 한다”며 애니데스크 같은 정상 원격제어 앱을 설치하게 한다. 이 앱들은 앱스토어에 정상 등록된 도구라 사용자도, 백신도 의심하지 않는다. 그러나 일단 연결되면 화면과 조작 권한이 통째로 넘어가고, 사기범은 그 위에 백신을 위장한 악성 앱을 하나 더 얹는다. 여기서부터 통화 중에 계좌가 비워진다. 최근 수법은 정상 원격제어 앱을 발판 삼아 악성 앱을 심는 조합으로 진화했다.
전형적인 각본은 이렇게 흐른다. 검찰 수사관을 자처하는 전화가 걸려 와 “당신 명의 계좌가 대포통장으로 쓰여 피해자가 여럿”이라며 압박한다. 곧 다른 사람이 금융감독원 직원으로 바꿔 받아 “결백을 증명하려면 자산을 안전 계좌로 옮겨 검증받아야 한다”고 안내한다. 통화를 끊으면 수사에 불리하다는 말로 붙들어 둔 채, 원격제어 앱을 깔게 하거나 현금 인출과 이체를 지시한다. 처음부터 끝까지 피해자가 자기 손으로 돈을 옮기게 만든다는 점이 이 범죄의 핵심이다. 계좌를 해킹당하는 게 아니라, 설득당해 스스로 이체하는 것이다. 그래서 아무리 강한 비밀번호도 이 각본은 막지 못한다.
목소리도 더는 단서가 되지 못한다. AI 음성 합성으로 가족의 목소리를 흉내 내 “엄마, 나 폰이 고장 나서 그런데”로 시작하는 사칭이 등장했다. 어색한 말투나 중국식 억양으로 걸러내던 시대는 지났다고 보는 편이 안전하다. 그래서 판단 기준을 ‘누가, 어떤 목소리로’가 아니라 ‘무엇을 요구하는가’로 옮겨야 한다. 원격제어 앱 설치, 계좌 이체, 인증번호 전달, 이 세 가지를 요구하는 통화는 상대가 누구로 들리든 일단 끊고 확인하는 게 원칙이다.
공격은 왜 부모님 세대로 쏠리는가
같은 문자와 전화라도 세대에 따라 위험의 크기가 다르다. 새로운 수법에 노출될 기회가 적은 세대일수록 처음 보는 각본에 그대로 걸려든다. 기관 사칭형이 전체 피해액의 80%를 차지하는 배경에는 검찰·경찰·금융감독원 같은 권위에 반사적으로 순응하는 심리가 있다. “당신 계좌가 범죄에 연루됐다”는 말 앞에서 통화를 끊고 되묻는 판단은, 그 권위를 한 번쯤 의심해 본 경험이 있어야 나온다.
구조적 조건도 겹친다. 은퇴 자금처럼 목돈이 한 계좌에 모여 있어 한 번의 이체로 피해가 크고, 곁에서 “그거 사기야”라고 잡아 줄 사람이 없는 시간대에 전화가 걸려 온다. 사기범은 이 점을 알고 통화를 길게 끌며 다른 사람과 상의할 틈을 주지 않는다. 은행 창구 직원이 이상을 눈치채고 만류하는 상황까지 미리 짜인 대사로 무력화하도록 훈련돼 있어서, “가족이 아프다고 했느냐”고 물으면 “그렇다”고 답하도록 사전에 입을 맞춰 둔다.
그래서 이 문제는 당사자의 주의력에만 맡길 수 없다. 스마트폰 설정을 바꾸고 차단 서비스를 신청하는 일은 화면에 익숙한 자녀 세대가 대신 해 주는 편이 빠르고 확실하다. 부모님에게 “조심하세요”라고 당부하는 것으로는 부족하다. 폰을 직접 받아 무엇이 사기 신호인지 함께 짚어 보고, 필요한 앱과 차단을 세팅해 드리는 게 실질적인 방어다.
진짜와 가짜를 가르는 네 가지 신호
수법은 매번 새 옷을 입지만, 가짜를 드러내는 신호는 몇 개로 압축된다. 문자든 전화든 아래 넷 중 하나라도 걸리면 그때부터는 사기로 놓고 대응하는 게 맞다.
앱 설치를 요구하면 사기다. 정상적인 공공기관과 금융사는 문자 링크나 통화로 앱 설치를 시키지 않는다. 은행 앱은 공식 스토어에서 직접 검색해 받는 것이지, 누가 보내준 링크로 까는 물건이 아니다. 특히 ‘.apk’ 파일을 내려받게 하거나, 스토어가 아닌 곳에서 설치하도록 ‘출처를 알 수 없는 앱’ 허용을 요구하면 100% 악성 앱이다.
원격제어 앱을 깔라고 하면 사기다. 애니데스크·팀뷰어처럼 화면을 넘겨주는 앱을 상담 중에 설치하라고 하면 그 순간 통화를 끊어야 한다. 어떤 정상 기관도 민원인의 휴대폰 화면을 원격으로 넘겨받아 처리하지 않는다.
본문 링크는 도메인부터 의심한다. 택배사·정부기관을 사칭한 링크는 공식 주소와 미묘하게 다르다. 짧은 단축 URL이거나, 정식 도메인 뒤에 엉뚱한 문자가 붙어 있다. 확인이 필요하면 문자 속 링크가 아니라, 평소 쓰던 앱을 직접 열거나 공식 대표번호로 스스로 전화를 건다. 카카오톡에서 KISA의 ‘보호나라’ 채널을 친구 추가하면 의심 문자의 스미싱 여부를 바로 확인할 수 있다.
인증번호·계좌·비밀번호를 물으면 사기다. 문자로 받은 인증번호를 불러 달라는 요청, 계좌·카드번호나 비밀번호를 확인차 묻는 통화는 예외 없이 사기다. 인증번호는 본인만 입력하라고 있는 값이지 누구에게 읽어 주라고 오는 값이 아니다. “안전 계좌로 옮겨야 한다”는 말은 그 자체가 보이스피싱의 결정적 대사다. 세상에 자금을 대신 지켜 주는 국가 계좌 같은 건 없다.
부모님·배우자 폰을 미리 잠그는 법
내가 그날 저녁 부모님 폰에서 가장 먼저 한 일은 경찰대학 치안정책연구소와 인피니그루가 함께 만든 ‘시티즌코난’ 앱을 깔아 악성 앱 검사를 돌린 것이었다. 이 앱은 이미 설치된 악성 앱과 원격제어 앱, 출처가 불분명한 앱을 몇 초 만에 찾아낸다. 무료이고, 검사 후 지워도 되니 정기적으로 한 번씩 돌려 보게 해 두면 좋다. 이어 통신사 고객센터 앱에서 스팸·스미싱 문자 차단 기능을 켜고, 카카오톡에 ‘보호나라’를 친구로 추가해 문자가 오면 부모님이 직접 붙여넣어 확인할 수 있게 했다. 마지막으로 가족 단톡방에 규칙 하나를 정했다. “돈, 앱 설치, 인증번호가 나오는 문자나 전화는 무조건 아들에게 먼저 보여준다.” 부모님이 판단을 떠안지 않고 한 번 더 물어보는 이 습관 하나가, 어떤 필터링 앱보다 확실하게 작동했다.
배우자와 아이 명의도 함께 점검할 대상이다. 특히 미성년 자녀나 노부모의 명의는 본인이 쓰지 않는 만큼 도용돼도 한참 뒤에야 알게 된다. 명의 도용은 대출과 대포통장으로 곧장 이어지므로, 가족 구성원 각각의 명의로 열린 통신 회선과 계좌가 있는지부터 확인해 두는 게 순서다. 확인과 차단을 한 번에 해 주는 무료 서비스가 마련돼 있다.
명의를 통째로 잠그는 세 가지 사전 차단
피싱의 최종 목적은 대개 두 가지로 모인다. 내 명의로 대출을 일으키거나, 내 명의로 계좌(대포통장)를 만드는 것이다. 그렇다면 그 두 길목을 미리 막아 두면, 설령 개인정보가 새고 문자가 뚫려도 실제 금전 피해로는 이어지기 어렵다. 2024년 이후 국가가 무료로 열어 둔 사전 차단 장치가 세 가지 있다.
| 서비스 | 무엇을 잠그나 | 신청 경로 |
|---|---|---|
| 여신거래 안심차단 | 신규 대출·카드 발급(대면·비대면 모두) | 거래 금융사 지점·일부 앱 → 한국신용정보원 등록 후 약 4천 개 금융사 공유 |
| 비대면 계좌개설 안심차단 | 본인 모르게 열리는 비대면 입출금 계좌(대포통장) | 어카운트인포 앱·은행 앱·영업점 |
| 엠세이퍼(M-safer) | 본인 명의 휴대폰 신규 개통(심 스와핑·명의도용) | msafer.or.kr, KAIT 운영·무료 |
여신거래 안심차단이 가장 강력하다. 신청하면 한국신용정보원에 차단 정보가 등록되고 은행·카드·보험·증권 등 약 4천 개 금융사에 공유돼, 대면이든 비대면이든 새로운 대출과 카드 발급이 실시간으로 막힌다. 2024년 말 도입 이후 2025년 5월까지 255만 명 넘게 가입했다. 평소 새로 대출받을 일이 없는 부모님에게 특히 잘 맞는다. 정작 본인이 대출이 필요할 땐 잠깐 풀었다가 다시 걸면 된다.
비대면 계좌개설 안심차단은 대포통장을 막는다. 도용된 명의로 비대면 입출금 계좌가 열리면 그 계좌가 범죄 자금의 통로가 되고, 명의자는 자기도 모르게 금융 거래가 정지되는 2차 피해를 입는다. 이 서비스를 켜 두면 본인 모르게 열리는 비대면 계좌가 차단된다. 금융결제원의 ‘어카운트인포’ 앱에서 몇 번의 인증으로 신청되고, 현재 차단 상태를 앱에서 바로 확인할 수 있다.
엠세이퍼는 통신 회선 쪽 급소를 잠근다. 한국정보통신진흥협회(KAIT)가 무료로 운영하며, 내 명의로 개통된 휴대폰 회선을 한 번에 조회하고 신규 개통을 사전 차단한다. 문자 인증이 만능 신원 확인으로 쓰이는 한국에서 번호를 새로 개통당하는 건 곧 신원을 통째로 도용당하는 것과 같다. 여기에 은행 앱의 ‘지연이체'(이체 지시 후 일정 시간 뒤 실행)를 함께 걸어 두면, 순간적으로 속아 이체를 눌러도 취소할 시간을 확보할 수 있다.
세 가지 모두 무료이고, 한 번 신청해 두면 계속 유지된다. 부모님처럼 새 대출이나 계좌 개설, 휴대폰 개통을 할 일이 드문 사람일수록 켜 두는 편이 이득이 크다. 정작 본인이 필요할 때는 잠깐 해제했다 다시 걸면 되므로 불편은 순간이고 방어는 상시다. 명절이나 가족 모임 때 어른들 휴대폰을 한자리에 모아 함께 신청해 두는 것도 좋은 방법이다.
이미 당했다면 — 돈이 빠지기 전 골든타임
속았다는 걸 깨닫는 순간부터는 속도가 전부다. 사기범이 돈을 여러 계좌로 쪼개 빼기 전에 계좌를 묶는 몇 분이 피해 규모를 가른다. 순서대로 움직인다.
- 즉시 지급정지부터. 국번 없이 112(경찰)와 1332(금융감독원), 그리고 돈을 보낸 은행 콜센터에 전화해 지급정지를 요청한다. 112는 사건 접수와 악성 앱 차단, 계좌 지급정지, 피해 구제까지 원스톱으로 연결된다. 송금한 은행에 곧바로 거는 게 가장 빠르다.
- 악성 앱을 끊는다. 좀비폰이 의심되면 우선 데이터와 와이파이를 꺼 통신을 차단한 뒤, 다른 안전한 기기로 시티즌코난을 안내받아 검사하거나, 중요한 자료를 백업한 다음 초기화한다. 감염된 폰으로는 통화·인증을 하지 않는다.
- 명의 도용 여부를 확인한다. 엠세이퍼로 내 명의 통신 회선을, 어카운트인포로 내 명의 계좌 전체를 조회해 모르는 회선·계좌가 있으면 즉시 해지·정지한다.
- 추가 피해를 봉쇄한다. 여신거래 안심차단과 비대면 계좌개설 안심차단을 걸어 도용된 정보로 더는 대출·계좌가 열리지 않게 막는다.
- 신고와 재정비. 스미싱 문자와 스팸은 118(KISA)에 신고하고, 유출됐을 계정의 비밀번호를 바꾸고 문자 인증을 인증 앱으로 올린다. 통화·문자 화면은 캡처해 증거로 남긴다.
정리하면, 스미싱과 보이스피싱 방어는 ‘수상한 문자를 알아보는 눈썰미’ 하나로 끝나지 않는다. 링크 뒤에서 폰이 좀비가 되는 구조를 이해하고, 명의와 계좌라는 최종 목적지를 사전 차단으로 미리 잠그고, 당했을 때 지급정지까지 가는 순서를 손에 익혀 두는 세 겹이 있어야 한다. 그리고 이 세 겹은 판단이 가장 느린 가족의 폰에 먼저 세워야 한다. 오늘 저녁, 부모님 폰에 시티즌코난을 깔고 여신거래 안심차단을 함께 신청하는 것만으로 가장 큰 구멍 하나가 닫힌다.
![ApoorvCTF 2025 - [AI] Pokédex Neural Network Write Up 3 ApoorvCTF 2025 – [AI] Pokédex Neural Network Write Up](https://redchupa.com/wp-content/uploads/2026/04/20250304_1638_32.png)
