올해 두 달 만에 40만 건 넘은 스미싱… '계정탈취형'이 절반을 차지

스미싱 탐지 건수, 2년 만에 59배 증가

[사진=게티이미지뱅크]

스미싱 위협이 더욱 심각해지고 있다. 올해 1~2월에 탐지된 스미싱 건수가 40만건을 넘어선 가운데 이중 절반 이상이 계정탈취를 목적으로 한 것으로 나타났다. 단순한 문자 사칭을 넘어 원격 제어 앱 설치 유도, QR코드 악용 등 지능형 기법도 함께 증가하고 있다.

31일 한국인터넷진흥원(KISA)이 발표한 '스미싱 위협 대응 현황'에 따르면 2025년 1~2월 누적 스미싱 탐지 건수는 총 40만 9587건에 달한다. 하루 평균 6800건이 발생한 셈이다.

가장 많은 스미싱 유형은 '계정탈취형'이다. 두 달간 21만 8632건이 탐지됐다. 전체 스미싱의 약 53.4%를 차지한다. 공공기관 사칭형 스미싱은 15만 8744건, 지인 사칭형은 3만 1737건으로 집계됐다.

특히 2월 탐지 건수(24만 4582건)는 1월(16만 5005건)에 비해 약 48% 증가했다. 스미싱 위협이 점차 확산되고 있는 것으로 풀이된다.

KISA는 이러한 진화된 스미싱 공격을 막기 위해 '악성문자 엑스레이 시스템'을 도입했다. 수신 문자에 포함된 URL의 악성 여부를 실시간으로 분석하고 위험이 감지되면 자동 차단한다. 최근 급증하는 QR코드 기반 스미싱(큐싱)에 대응하기 위한 큐싱 분석 솔루션도 함께 운영하고 있다.

김은성 KISA 스미싱대응팀 팀장은 "공식 앱스토어 외의 링크를 통한 앱 설치를 삼가야 하며, 공공기관이나 금융기관을 사칭한 메시지는 반드시 전화나 공식 채널을 통해 이중 확인하는 것이 중요하다"고 말했다. 또한, 스마트폰 보안 앱과 스팸 필터링 기능을 활성화하는 것도 예방에 도움이 된다고 조언했다. 

최근 몇 년간 스미싱 공격은 기하급수적으로 증가하고 있다. 2022년 스미싱 탐지 건수는 3만 7122건이었으나, 2024년에는 219만 6469건으로 폭증했다. 불과 2년 만에 약 59배 증가한 수치다. 같은 기간 차단된 스미싱 건수 역시 762건에서 1만 9227건으로 약 25배 증가했다.

스미싱 유형을 분석하면 계정탈취형이 가장 큰 비중을 차지하고 있으며, 공공기관 사칭과 지인 사칭 유형도 지속적으로 증가하는 추세다. 작년 한 해 동안 계정탈취형 스미싱은 125만 8228건이 탐지되며 전체의 절반 이상을 차지했고, 공공기관 사칭형도 45만 9707건을 기록했다. 지인 사칭형 스미싱도 36만 3622건에 달해 각별한 주의가 요구된다.