최근 들어 ‘은행 보안등급이 낮아 거래 제한이 됩니다’, ‘고객님의 계좌가 이상 거래로 정지되었습니다’ 같은 문자를 받아본 분들이 많을 것입니다. 이는 금융기관을 사칭한 피싱 사기의 전형적인 수법입니다. 특히 카카오톡 알림톡이나 일반 문자로 위장하여 링크 클릭을 유도하는 방식이 대세로 자리잡고 있습니다. 2024년 하반기부터는 AI를 활용한 대화형 피싱(스미싱)의 정교함까지 더해져, 실수로 클릭하면 금융정보 탈취 및 계좌 피해로까지 이어지는 상황입니다.
정부와 금융감독원은 이 같은 피해를 줄이기 위해 각종 대책을 내놓고 있으나, 개인의 경각심 없이는 사기를 막기 어렵습니다. 이 글에서는 은행을 사칭한 피싱 문자의 최신 수법과 피해 예방법, 대응 방법까지 상세히 안내드립니다. 글을 끝까지 읽으면 어떤 문자가 진짜이고, 어떤 링크가 위험한지 구별하는 눈이 생기고, 실제 당했을 때도 당황하지 않고 대처할 수 있게 됩니다.
피싱 문자, 왜 이렇게 많아졌을까?
최근 1년 새 피싱 문자 관련 신고 건수가 30% 이상 급증했습니다. 이는 악성 앱 설치 유도 방식에서 링크 클릭 유도형으로 수법이 진화했기 때문입니다. 특히 은행을 사칭하는 피싱 문자 중 상당수는 "정상적인 URL 구조"처럼 보이게끔 위조되며, 카카오 알림톡 UI와 유사한 디자인으로 수신자에게 신뢰를 주는 방식이 많습니다.
이런 사기 수법은 중국, 동남아 등지의 해외 조직과 연계되어 한국인 명의의 휴대폰을 대포폰화하여 자동으로 발송되기도 합니다. 문자 수신자가 해당 링크를 클릭하면 악성 코드가 심어진 가짜 사이트로 이동해 공인인증서, 비밀번호, OTP, 계좌번호 등 주요 정보를 입력하게 유도됩니다.
피싱 문자에서 자주 쓰이는 문구 패턴은?
사칭 피싱 문자에는 공통적으로 ‘긴박감’과 ‘정상적인 안내처럼 보이는 문구’가 혼합되어 있습니다. 자주 등장하는 문구 예시는 다음과 같습니다:
- “고객님의 계좌가 일시 정지되었습니다. 확인 필수”
- “보안등급이 낮아 이체가 제한됩니다. 바로 확인하세요”
- “고객님의 금융정보가 도용되었습니다. 확인 후 복구 절차 진행바랍니다”
이처럼 특정 단어(보안, 정지, 도용, 등급, 복구)를 활용해 수신자가 불안을 느끼고 즉각적으로 행동하게 만드는 것이 핵심 전략입니다. 이들은 ‘은행 고객센터’, ‘보이스피싱 방지센터’ 등으로 자칭하며 클릭을 유도하는 URL을 동반합니다. 특히 .com, .kr, .co.kr 도메인으로 위장하여 일반 사용자가 진짜 사이트로 오인하게끔 합니다.
실제 피해 사례, 어떻게 당했나?
서울에 거주 중인 40대 직장인 김 모 씨는 최근 “국민은행 보안등급이 낮습니다”라는 문자를 받고 무심코 클릭했습니다. 링크를 통해 접속한 페이지는 국민은행 로그인 화면과 유사했으며, 계좌번호와 보안카드 정보를 입력하자마자 비밀번호까지 입력을 유도하는 창이 떴습니다. 김 씨가 뒤늦게 이상함을 느끼고 종료했지만 이미 계좌 정보는 넘어간 상태였고, 다음날 새벽에 200만원이 인출됐습니다.
이러한 피해는 단지 클릭 한 번으로 시작됩니다. 더불어 ‘사칭된 은행 콜센터 번호’로 전화를 유도하는 방식도 병행되어 사용됩니다. 이 경우 사용자가 전화를 걸면 보이스피싱 상담원이 나와 고객센터 직원인 것처럼 응대하며 추가 정보를 빼내는 구조입니다.
피싱 문자를 받았을 때, 이렇게 대응하세요
문자를 받았다면 절대로 링크를 클릭하지 마세요. 클릭했더라도 어떠한 정보도 입력하지 말고 즉시 해당 웹사이트를 닫아야 합니다. 이미 입력을 했다면, 즉시 은행 고객센터로 연락하여 계좌 정지 요청을 하고 금융감독원 ‘피싱 피해 24시간 긴급 신고센터’에 신고해야 합니다.
또한 문자에 포함된 URL을 ‘사이트 주소 확인 서비스’에서 검증해보는 것도 유용합니다. ‘whois’나 ‘네이버 사이트 검사’ 등을 활용해 URL이 실제 은행 도메인인지 확인할 수 있습니다. 문자가 너무 그럴듯해서 의심되지 않더라도 항상 ‘직접 은행앱이나 공식 홈페이지를 통해 확인’하는 습관이 중요합니다.
절대로 하지 말아야 할 행동들
- 문자에 답장하지 마세요: 응답하면 ‘실제 사용자’로 인식되어 더 많은 피싱 문자나 전화가 올 수 있습니다.
- 링크 클릭 후 개인정보 입력 절대 금지: ID, 비밀번호, 공인인증서, OTP 정보 등 어떤 정보도 입력하지 마세요.
- 앱 설치 유도형 링크는 바로 삭제: 악성코드가 심어진 앱일 수 있어, 설치 즉시 스마트폰이 해킹될 수 있습니다.
- 의심되는 앱은 백신 앱으로 검사 후 삭제: 기본 제공 보안앱이나 백신앱을 사용해 정밀 검사하세요.
스마트폰의 ‘설정 > 앱 > 설치된 앱 목록’에서 ‘출처 불명의 앱’이나 최근 설치된 의심스러운 앱을 삭제하는 것도 중요합니다. 또 카카오톡 등 SNS 연동 정보도 함께 확인해 해킹 가능성까지 점검하세요.
예방이 최선입니다: 꼭 기억할 3가지
- 절대로 링크 클릭 금지: 모든 금융기관은 문자를 통한 URL 안내를 하지 않습니다.
- 의심된다면 고객센터 직접 전화: 문자나 전화로 받은 연락처가 아닌, 공식 홈페이지에 있는 고객센터 번호로 직접 연락해야 합니다.
- 문자 캡처 후 신고: 사이버범죄 신고센터, 금융감독원 등에 캡처 화면과 함께 신고하면 추후 다른 피해를 막는 데 도움이 됩니다.
피해 발생 시에는 금융감독원 1332번 또는 경찰청 사이버범죄 신고센터에 바로 신고하고, 본인 명의의 계좌에 대한 모든 출금정지 및 정보 변경을 요청해야 합니다. 신속하게 대처하는 것이 금전 피해를 줄이는 핵심입니다.
