지난해 국내 통신사·카드사·유통사를 강타한 연쇄 해킹 사고가 대규모 개인정보 유출을 넘어 서민의 금융 자산을 정밀 타격하는 '지능형 피싱 범죄'의 기폭제가 됐다는 분석이 나왔다.
인공지능(AI) 보안 기업 에버스핀은 자사의 악성앱 탐지 솔루션 '페이크파인더(FakeFinder)'의 지난해 데이터를 정밀 분석한 결과, 지난해 발생한 대규모 데이터 유출 사태가 피싱 범죄의 체질을 완전히 바꿔놓았다고 26일 밝혔다.
분석 결과를 보면 지난해 전체 악성앱 탐지 건수는 92만4419건으로 전년(104만건) 대비 약 11% 감소했다. 그러나 에버스핀은 이를 긍정적 신호가 아닌 '위협의 고도화'라고 진단했다.
에버스핀 관계자는 "과거에는 불특정 다수에게 무작위로 앱 설치를 유도하는 '양적 공세'가 주를 이뤘다면, 작년에는 유출된 정보를 바탕으로 속을 수밖에 없는 사람만 골라 공격하는 질적 타격으로 범죄 양상이 급변했다"라며 "해킹으로 확보한 실명, 전화번호, 상세 구매 이력 등의 데이터가 해커들에게 확실한 타겟팅과 공격 가이드라인'을 제공했기 때문"이라고 말했다.
이런 흐름은 세부 유형별 데이터에서 드러난다. 전통적인 보이스피싱 수단인 '전화 가로채기' 유형은 전년 대비 24.1% 감소(37만→28만건) 했고, 단순한 '사칭 앱' 또한 30% 감소(45만→32만건)했다. 이는 "검찰입니다" 식의 전화나 뻔한 기관 사칭에는 사용자들이 더 이상 쉽게 속지 않는다는 사실을 보여준다.
반면, 스마트폰 내의 민감 정보를 털어가는 '개인정보 탈취' 유형의 악성앱은 전년 대비 53%나 폭증(21만→32만건) 하며 최대 위협으로 부상했다.
에버스핀은 이를 유출된 개인정보를 실제 범죄에 악용하기 위한 필수 수순으로 봤다. 해킹으로 확보한 정보만으로는 금융사의 2차 인증 등을 뚫는데 어려움이 있기 때문에 '문자 인증번호'와 '신분증 이미지' 등 조금 더 완전한 정보까지 확보하기 위해 악성앱을 통한 개인정보탈취에 총력을 기울였다는 설명이다.
실제로 공격자들은 유출된 상세 주문 내역을 미끼로 "배송지 오류 수정" 등을 요구하며 접근한 뒤, 피해자의 의심을 피하며 앱을 설치시켰다. 이렇게 침투한 악성앱은 통화 기능보다는 문자 메시지, 연락처, 사진첩 등 권한을 탈취해 금융 인증을 우회할 수 있는 데이터를 수집하는 데 사용됐다.
에버스핀 관계자는 "2025년의 해킹 대란은 해커들에게 '어떤 앱을 만들어야 범죄가 성공할지' 알려준 가이드라인과 같았다"며 "해킹으로 확보한 1차 데이터를 기반으로 2차 핵심 정보를 탈취하기 위해 설계된 '정보 탈취 앱'이 기승을 부린 한 해"라고 설명했다.