스미싱 문자, 2026년엔 이렇게 진화했다

“[KB국민은행] 홍길동 고객님, 4/28 비정상 해외결제 감지. 본인 아닐 경우 즉시 확인: https://kb-secure.xyz”

이 문자에 내 실명이 적혀 있다면 — 손이 가는 게 정상이다.

2024년까지 스미싱은 불특정 다수에게 같은 문자를 뿌리는 방식이었다. “고객님” “이용자님” 같은 범용 호칭, 어설픈 URL. 눈치 빠른 사람은 걸러냈다.

2025년부터 상황이 바뀌었다. 내 이름, 내 통신사, 심지어 내 주소까지 적힌 문자가 온다.

왜 갑자기 내 이름을 알고 있는가

2025년은 한국 개인정보 유출 역사상 최악의 해였다.

SKT 유심 해킹으로 가입자 식별키(IMSI) 2,696만 건이 유출됐고, 단말기 고유식별번호(IMEI) 29만 건이 포함된 파일도 해킹 서버에서 발견됐다. 쿠팡, 롯데카드, 신한카드, 넷마블까지 줄줄이 뚫렸다.

이 데이터는 다크웹에서 거래된다. 이름, 전화번호, 주소, 생년월일이 세트로 묶여서 팔린다. 공격자 입장에서는 장바구니에 담듯 원하는 조건의 데이터를 골라 살 수 있는 거다.

이걸 사면 뭘 할 수 있냐. “홍길동 고객님, 서울 강남구 ○○아파트 택배가 반송되었습니다” 같은 문자를 보낼 수 있다. 받는 사람 입장에서는 실제 주소가 맞으니 의심하기 어렵다.

숫자로 보는 스미싱 급증

KISA(한국인터넷진흥원) 탐지 기준으로, 전체 스미싱은 2022년 3만 7천 건에서 2024년 219만 건으로 약 59배 증가했다.

세부 유형별로 보면 더 뚜렷하다.

공공기관 사칭: 2022년 1만 7,726건 → 2024년 125만 88건. 70배 이상 증가.

지인 사칭: 2022년 4건 → 2024년 36만 3천 건. 문자 그대로 0에서 36만으로 뛴 거다.

경찰청 112 신고 기준, 피싱 관련 신고는 2024년 37만 건, 2025년 8월까지 이미 37만 9,954건을 돌파했다.

글로벌 통계도 같은 방향이다. 스미싱은 전체 피싱 공격의 35%를 차지하며(SentinelOne, 2026), 전년 대비 40% 성장했다. 스미싱의 링크 클릭률은 1936%로, 이메일 피싱(24%)보다 5배 이상 높다.

2026년형 스미싱의 3가지 특징

1. 개인정보 결합 — “나보다 나를 더 잘 안다”

과거: “[택배] 배송 실패. 확인: http://xxx.com” 현재: “[CJ대한통운] 홍길동님, 서울 마포구 ○○빌라 배송 실패. 주소 재확인: https://cj-redeliver.xyz”

이름과 주소가 맞으니까, “진짜 택배 문제인가?” 하고 누른다. 공격자는 유출된 데이터베이스에서 이름+주소+전화번호를 매칭한 거다. 기술적으로 어려운 게 아니다 — 엑셀 필터 수준의 작업이다.

2. 사건 편승 — 유출 사고 자체를 미끼로

SKT 유심 해킹 직후, “SKT 유심 교체 예약이 완료되었습니다. 확인: https://skt-usim.xyz” 같은 문자가 돌았다. 실제로 유심이 부족해서 예약제로 운영되던 시점이었다.

유출 사고가 터지면 불안한 사람이 늘어난다. 공격자는 그 불안을 이용한다. “개인정보 유출 여부 확인” “보상 신청” “유심 교체 안내” — 전부 미끼다.

3. AI + 멀티채널 — 문자만 오는 게 아니다

스미싱이 문자 한 통으로 끝나지 않는다. 2025~2026년 피싱의 41%가 멀티채널 공격이다(Keepnet, 2025). 문자로 시작해서, 카카오톡 메시지, 이메일, 심지어 전화(보이스피싱)까지 이어지는 구조다.

AI가 이 과정을 자동화한다. 문자를 수천 건 보내되, 각각의 메시지를 수신자의 이름·지역·최근 거래 내역에 맞춰 개인화할 수 있다. 과거에는 사람이 일일이 써야 했던 작업이, 지금은 스크립트 하나로 돌아간다.

스미싱 문자가 왔을 때 — 구체적 행동

문자가 아무리 정교해도, 공격이 성공하려면 결국 링크를 눌러야 한다. 이 한 가지가 방어의 핵심이다.

🟢 일반 사용자 — 이것만 하면 된다:

1. 문자 속 링크는 누르지 않는다 — 예외 없음. 택배 확인은 공식 앱(CJ대한통운, 한진 등)에서 직접. 은행 확인은 공식 앱에서 직접. 문자에 적힌 URL은 무조건 무시.
2. “출처를 알 수 없는 앱” 설치 차단 — 안드로이드: 설정 → 보안 → 출처를 알 수 없는 앱 설치 허용 끄기. 이것만으로 스미싱 앱 설치가 물리적으로 차단된다.
3. 유심보호서비스 가입 — SKT(T월드 앱), KT(마이케이티 앱), LGU+(당신의U+ 앱)에서 무료 가입. 유심 복제(심스와핑)를 차단한다.

🟡 민감한 상황 (금융 거래, 사업자, 고액 자산가):

위 3단계에 더해서:

• 2단계 인증(2FA) — 주요 금융 앱, 이메일, 카카오톡에 OTP 또는 생체인증 추가. 비밀번호가 탈취돼도 2차 인증이 없으면 로그인이 안 된다.
• 문자 인증 의존 줄이기 — 가능한 서비스에서 SMS 인증 대신 앱 기반 인증(PASS, 카카오 인증)으로 전환. 유심이 복제되면 SMS 인증은 무력화된다.

🔴 OPSEC 필요 (이미 유출 피해를 입은 경우, 표적 공격 대상):

• 번호 변경 고려 — 이름+전화번호+주소가 세트로 유출됐고, 맞춤형 공격이 반복된다면, 번호 변경이 가장 확실한 차단이다. 번거롭지만 한 번이면 끝난다.
• 통신사 명의도용 방지 서비스 — Msafer에서 본인 명의 회선 조회 및 추가 개통 차단 가능.
• 일반인 대부분은 여기까지 할 필요 없다. 반복적으로 표적이 되고 있다는 확신이 있을 때만.

이미 링크를 눌렀다면

링크만 눌렀고 아무것도 입력하지 않았다면 — 브라우저 닫기 → 캐시 삭제. 이것만으로 괜찮다.

앱이 설치됐다면 — 즉시 삭제 → V3 모바일 시큐리티로 악성앱 검사 → 설치 후 입력한 정보가 있다면 해당 서비스 비밀번호 즉시 변경.

금융 정보(카드번호, 계좌번호, OTP)를 입력했다면 — 해당 금융기관 고객센터에 즉시 전화 → 카드 정지 또는 계좌 지급정지 요청. 경찰청 사이버안전국(ecrm.police.go.kr)에 신고. KISA 118에도 신고.

유출된 내 정보, 되돌릴 수 있는가

솔직히, 없다. 한번 다크웹에 풀린 데이터를 회수하는 건 현실적으로 불가능하다.

할 수 있는 건 피해 경로를 차단하는 것이다. 유심보호서비스로 심스와핑을 막고, 2FA로 계정 탈취를 막고, 링크를 안 누르는 것으로 악성앱 설치를 막는다. 데이터가 유출된 건 바꿀 수 없지만, 그 데이터가 실제 피해로 이어지는 경로는 전부 끊을 수 있다.

개인정보 유출 여부 확인은 각 기업의 공식 채널에서만 하라. 문자로 온 “유출 확인 링크”는 그 자체가 스미싱일 확률이 높다.

정리

2026년의 스미싱은 내 이름, 주소, 거래 내역까지 알고 온다. 2025년 연쇄 유출 사고로 공격자의 무기고에 수천만 건의 개인정보가 쌓였기 때문이다.

하지만 구조는 바뀌지 않았다. 문자 → 링크 클릭 → 정보 입력 또는 앱 설치. 이 체인의 두 번째 단계, 링크를 누르지 않는 것만으로 대부분의 공격이 무력화된다.

내 이름이 적혀 있어도 누르지 마라. 그 문자가 정교할수록, 오히려 스미싱일 확률이 높다. 진짜 은행이라면 앱에 알림이 와 있을 거다. 진짜 택배라면 공식 앱에서 조회하면 된다.

지금 바로 할 일 한 가지 — 통신사 유심보호서비스 가입 여부를 확인하라. 아직 안 했다면, T월드·마이케이티·당신의U+ 앱에서 30초면 끝난다.