카카오뱅크가 올해 상반기 스미싱 문구 분석 통계를 발표했다. 개인정보 사칭 문구가 가장 많은 비중을 차지했으며 금융기관·기업 사칭, 지인 위장, 단속 빙자 등 다양한 유형이 확인됐다. 카카오뱅크는 AI 기반 분석을 통해 스미싱 경보 체계 고도화에 나선다.

카카오뱅크는 8일 ‘AI 스미싱 문자 확인’ 서비스로 수집된 3만7000여 건의 데이터를 바탕으로 ‘2025년 상반기 스미싱 문구 유형 통계’를 발표했다. 이번 분석은 지난해 12월 서비스 출시 후 6개월간 누적 데이터를 기반으로 카카오뱅크 AI데이터사이언스팀이 키워드 분류 및 빈도 분석을 통해 진행했다.

가장 많은 유형은 ‘개인정보 유출/수집 사칭’으로 전체의 37%를 차지했다. “계정이 해킹됐다”, “보안 인증이 필요하다” 등의 문구로 이용자의 불안 심리를 자극해 악성 링크 클릭을 유도하는 사례가 대다수였다.

금융기관을 사칭한 유형은 19%로, “승인되지 않은 거래 발생”, “환급금 확인 요청” 등의 문구가 대표적이다. 특히 실제 금융기관명과 유사한 문장을 활용해 정교하게 위장된 사례가 빈번하게 포착됐다.

기업 및 광고를 사칭한 문구는 전체의 18%를 기록했다. “무료 쿠폰 도착”, “이벤트 당첨”, “배송 확인 요청” 등 소비자 관심을 끄는 문구로 위장해 신뢰를 유도하는 방식이다.

지인 청첩장, 부고 알림을 사칭한 스미싱 유형은 12%, 단속이나 과태료를 빙자한 유형은 10%로 나타났다. 이들은 오랜 시간 사용된 고전적 수법임에도 불구하고 여전히 꾸준히 시도되고 있는 것으로 확인됐다.

사회적 트렌드를 활용한 사례도 눈에 띈다. 입시철에는 ‘합격 통보’, 건강검진 시즌에는 ‘검진 결과 통보’ 등이 문구로 사용됐으며 드라마 <오징어게임> 같은 대중 콘텐츠까지 스미싱 소재로 활용됐다.

이번 분석에 활용된 ‘AI 스미싱 문자 확인’ 서비스는 카카오뱅크 앱 내 기능으로, 사용자가 받은 의심 문자를 복사해 붙여넣으면 스미싱 위험도를 ‘높음’, ‘안전’, ‘스팸’, ‘판단불가’로 분류해 안내한다. 해당 기술은 카카오뱅크 금융기술연구소가 자체 개발한 LLM(거대언어모델)과 고성능 AI 언어모델 ‘버트(BERT)’ 기반 분석 엔진을 바탕으로 한다.

카카오뱅크는 “스미싱 수법은 갈수록 교묘해지고 있으며, 각별한 경계가 필요하다”며 “의심 문자 수신 시 AI 기반 분석 도구를 활용해 2차 피해를 예방하길 바란다”고 당부했다.

이외에도 카카오뱅크는 신분증 인식, 안면 인증, 무자각 인증 등 보안기술을 자체 개발해 금융소비자 보호 역량을 강화하고 있다. ‘지연이체 서비스’, ‘입금계좌 지정’, ‘악성 앱 탐지’ 등 금융사기 대응 기능도 다각도로 운영 중이다.