대기업 해킹 나비효과, '정보 탈취 악성앱' 53% 폭증
인공지능(AI) 보안 기업 에버스핀(대표 하영빈)은 자사의 악성앱 탐지 솔루션 '페이크파인더(FakeFinder)'의 2025년 데이터를 정밀 분석한 결과, 지난해 발생한 대규모 데이터 유출 사태가 피싱 범죄의 체질을 완전히 바꿔놓았다고 26일 밝혔다.
데이터에 따르면, 2025년 전체 악성앱 탐지 건수는 92만 4,419건으로 전년(104만 건) 대비 약 11% 감소했다. 그러나 에버스핀은 이를 긍정적 신호가 아닌 '위협의 고도화'로 진단했다. 해킹으로 확보한 실명, 전화번호, 상세 구매 이력 등의 데이터가 해커들에게 '확실한 타겟팅'과 '공격 가이드라인'을 제공했기 때문이다.
과거에는 불특정 다수에게 무작위로 앱 설치를 유도하는 '양적 공세'가 주를 이뤘다면, 작년에는 유출된 정보를 바탕으로 '속을 수밖에 없는 사람'만 골라 공격하는 '질적 타격'으로 범죄 양상이 급변했다.
이러한 흐름은 세부 유형별 데이터에서 더욱 명확히 드러난다. 전통적인 보이스피싱 수단인 '전화 가로채기' 유형은 전년 대비 24.1% 감소(37만→28만 건) 했고, 단순한 '사칭 앱' 또한 30% 감소(45만→32만 건) 하며 하락세를 보였다. 이는 "검찰입니다" 식의 전화나 뻔한 기관 사칭에는 사용자들이 더 이상 쉽게 속지 않음을 보여준다.
반면, 스마트폰 내의 민감 정보를 털어가는 '개인정보 탈취' 유형의 악성앱은 전년 대비 53%나 폭증(21만→32만 건) 하며 최대 위협으로 부상했다.
에버스핀은 이를 유출된 개인정보를 실제 범죄에 악용하기 위한 필수 수순으로 진단했다. 해킹으로 확보한 정보만으로는 금융사의 2차 인증 등을 뚫는데 어려움이 있다. 때문에 '문자 인증번호'와 '신분증 이미지' 등 좀 더 완전한 정보까지 확보하기 위해 악성앱을 통한 개인정보탈취에 사활을 걸었다는 것이다.
실제로 공격자들은 유출된 상세 주문 내역을 미끼로 "배송지 오류 수정" 등을 요구하며 접근한 뒤, 피해자의 의심을 피하며 앱을 설치시켰다. 이렇게 침투한 악성앱은 통화 기능보다는 문자 메시지, 연락처, 사진첩 등 권한을 탈취해 금융 인증을 우회할 수 있는 데이터를 수집하는 데 집중됐다.
에버스핀 관계자는 "2025년의 해킹 대란은 해커들에게 '어떤 앱을 만들어야 범죄가 성공할지' 알려준 가이드라인과 같았다"며 "해킹으로 확보한 1차 데이터를 기반으로, 2차 핵심 정보를 탈취하기 위해 설계된 '정보 탈취 앱'이 기승을 부린 한 해"라고 설명했다. 이어 "개인이 문자의 진위를 가려내기엔 한계에 다다른 만큼, 금융사들이 도입한 페이크파인더와 같은 전문 보안 기술이 서민들의 자산을 지키는 필수 안전장치가 되고 있다"고 강조했다.
sglee640@beyondpost.co.kr
