피싱 사기
본 서비스가 제공하는 내용 및 자료가 사실임을 보증하지 않습니다. 시스템은 언제나 실수를 할 수 있습니다. 중요한 의사결정 및 법리적 해석, 금전적 의사결정에 사용하지 마십시오.
피싱(Phishing)은 전자우편, 문자 메시지, 전화, 메신저 등을 통해 신뢰할 수 있는 사람이나 기업을 가장하여 비밀번호, 신용카드 정보, 금융 계좌 정보 등 기밀 데이터를 부정하게 획득하려는 공격 방식이다. 이는 기술적 해킹보다는 사람의 심리적 취약점을 공략하는 소셜 엔지니어링(Social Engineering)의 일종으로 분류된다. 낚시(Fishing)와 개인정보(Private data) 또는 사칭(Phreaking)의 합성어에서 유래하였으며, 가짜 미끼를 사용하여 사용자를 낚는다는 의미를 내포한다.
개요 및 어원
피싱은 1996년 미국 해커들이 처음 사용한 용어로, 낚시를 뜻하는 'Fishing'과 사칭을 뜻하는 'Phreaking'이 결합된 형태이다. 공격자는 신뢰할 수 있는 출처로 위장한 메시지를 보내 피해자가 링크를 클릭하거나 첨부 파일을 열도록 유도한다. 이를 통해 악성코드를 설치하거나 가짜 웹사이트로 접속하게 하여 정보를 탈취한다.
주요 유형 및 통계
피싱 사기는 전달 매체와 사칭 대상에 따라 다양하게 분류된다. 안랩의 2026년 1분기 보고서에 따르면 피싱 문자의 유형별 비중은 다음과 같다.
| 유형 | 비중 (%) |
|---|---|
| 금융기관 사칭 | 53.62 |
| 대출 사기 | 18.72 |
| 정부·공공기관 사칭 | 8.49 |
| 텔레그램 사칭 | 7.95 |
| 구인 사기 | 5.69 |
특히 금융기관 사칭과 대출 사기 유형은 직전 분기 대비 각각 9.38%, 205.15% 증가하며 높은 상승세를 보였다.
공격 수법의 진화
최근의 피싱은 단일 수단을 넘어 여러 단계를 거치는 하이브리드형으로 진화하고 있다.
- 하이브리드형 공격: 택배 스미싱 문자로 시작하여 가짜 앱 설치를 유도한 뒤, 최종적으로 보이스피싱으로 연결하는 방식이다. 2024년 상반기 기준 전년 대비 280% 증가했다.
- AI 기술 악용: 인공지능을 활용한 딥페이크 음성(딥보이스) 사기가 급증하고 있다. 2024년 한 해 동안 딥페이크 기반 음성 사기 시도는 전년 대비 1,300% 증가했다.
- 심리 조작: 출금 안내나 보안 경고 등으로 피해자의 불안감을 조성하여 급박하게 행동하도록 압박하는 전술을 사용한다.
피해 현황
2025년 1분기 기준 보이스피싱 범죄는 5,878건 발생하였으며, 총 피해액은 3,116억 원에 달했다. 이는 전년 동기 대비 범죄 건수는 17%, 피해액은 2.2배 증가한 수치이다. 건당 평균 피해액은 약 5,301만 원으로 집계되었으며, 피해자 중 50대 이상의 비중이 53%로 과반을 차지했다.
대응 및 예방
피싱 사기를 방지하기 위해 법적 규제, 사용자 교육, 기술적 도구가 활용된다. 사용자는 출처가 불분명한 링크를 클릭하지 않아야 하며, 금융기관이나 공공기관이 문자나 전화로 계좌 비밀번호 또는 송금을 요구하지 않는다는 사실을 숙지해야 한다. 또한 백신 프로그램 설치와 2단계 인증 사용이 권장된다.