스미싱, 이제 이름까지 알고 공격한다
2025년 스미싱 공격의 가장 큰 변화는 개인정보 유출 데이터와 결합한 정밀 타겟팅입니다. 과거의 무차별적 문자 발송과 달리, 이제는 피해자의 이름·소속·거래처 정보까지 파악한 뒤 맞춤형 스미싱 메시지를 발송합니다.
IMSI 캐처를 이용한 대규모 개인정보 탈취
2025년 상반기, 중국 국적 공격자들이 불법 소형 기지국 IMSI 캐처를 차량에 싣고 수도권 일대를 돌아다니며 정상 기지국으로 위장해 5,561명의 가입자 정보를 탈취한 사건이 발생했습니다. 같은 기간 SKT 등 통신사 침해사고로 인한 대규모 개인정보 유출 사태도 발생하며 스미싱 공격의 원재료가 되는 개인정보가 대거 다크웹에 유통된 상황입니다.
악성앱 설치 유도 스미싱 증가
스미싱 메시지의 URL을 클릭하면 피싱 페이지 또는 악성앱 설치로 이어지는 사례가 급증하고 있습니다. 설치된 악성앱은 정상 은행 앱으로 위장해 금융 정보를 탈취하거나, 기업 임직원의 경우 기업 내부망 접근 자격증명 탈취로 이어질 수 있습니다.
기업이 스미싱 모의훈련을 해야 하는 이유
- B2B 공급망 위협: 임직원 개인정보 유출이 기업 거래처 정보 유출로 이어집니다.
- 개인 기기 보안 사각지대: BYOD 환경에서 개인 스마트폰이 기업 보안의 취약 고리가 됩니다.
- 연쇄 범죄로의 확산: 스미싱으로 탈취한 정보가 보이스피싱·계정 탈취 등 추가 범죄로 확대됩니다.
시큐랩의 스미싱 모의훈련은 실제 공격과 유사한 시나리오로 임직원의 모바일 보안 인식을 높이고, 기업의 모바일 위협 대응 체계를 점검해드립니다.
