AI로 분석한 스미싱 3.7만 건… “의심 문자는 앱에서 먼저 확인하세요”

카카오뱅크, 스미싱 문구 1위는 ‘개인정보 유출 사칭’. 사진=카카오뱅크

카카오뱅크(대표 윤호영)는 올해 상반기 자사 ‘AI 스미싱 문자 확인’ 서비스를 통해 수집된 3만7,000여 건의 데이터를 분석한 ‘2025년 상반기 스미싱 문구 유형 통계’를 9일 발표했다.

카카오뱅크가 지난해 12월 출시한 ‘AI 스미싱 문자 확인’ 서비스는 앱 내에서 의심 문자를 복사해 붙여넣으면 스미싱 위험도를 판단해 ‘위험 문자’, ‘안전 문자’, ‘단순 스팸’, ‘판단 불가’ 4가지로 분류해주는 기능이다. 이번 분석은 서비스 출시 후 6개월간 접수된 데이터를 기반으로 AI 데이터사이언스팀이 주요 키워드를 분류하고 유형별 빈도수를 집계한 결과다.

분석 결과 가장 많은 비중을 차지한 스미싱 유형은 ‘개인정보 유출·수집 사칭’으로 전체의 37%에 달했다. “계정이 해킹됐다”, “보안 인증 필요” 등 수신자의 긴급함을 자극하는 문구가 주를 이뤘다. 이어 ▲금융기관 사칭(19%) ▲기업·광고 사칭(18%) ▲청첩·부고 등 지인 사칭(12%) ▲과태료·범칙금 등 단속 사칭(10%) 순으로 나타났다.

특히 금융기관을 사칭한 메시지는 “승인되지 않은 거래 발생”, “환급금 확인” 등 실제 금융사 문자를 모방한 경우가 많았다. 기업·광고 사칭은 “이벤트 당첨”, “무료 쿠폰 도착” 등 상업적 문구로 신뢰를 유도했고, 청첩장이나 부고 알림을 위장한 지인 사칭 유형도 꾸준히 발견됐다.

스미싱 공격은 사회 트렌드를 빠르게 반영하는 특징도 보였다. 입시철에는 ‘합격 통보’, 건강검진 시즌에는 ‘검진 결과 안내’, 인기 콘텐츠로는 ‘오징어게임’ 관련 문구를 활용한 사례도 포착됐다.

한국인터넷진흥원(KISA)은 ▲출처가 불분명한 문자 링크는 클릭하지 말 것 ▲사이트 주소가 공식 사이트와 일치하는지 확인할 것 ▲개인정보 입력은 신뢰 가능한 곳에만 할 것 등을 권고하며, 스미싱 피해 예방을 당부했다.

카카오뱅크는 “스미싱 수법이 점점 교묘해지고 있어 각별한 주의가 필요하다”며 “의심 문자는 반드시 카카오뱅크 앱에서 ‘AI 스미싱 문자 확인’ 기능을 활용해 검증하길 바란다”고 강조했다.

한편, 카카오뱅크는 자체 개발한 신분증 인식, 안면 인증, 무자각 인증 등 금융 보안 기술과 ‘지연이체’, ‘입금계좌 지정’, ‘악성 앱 탐지’ 등 다중 보안 솔루션을 운영 중이다. 이번 스미싱 탐지 기능은 자체 학습한 LLM(초거대언어모델)과 BERT 기반 고성능 AI 언어모델을 통해 구현됐다.