'페이크파인더 악성앱 리포트 Vol.5'..."개인정보 탈취형 53% 급증, 해킹이 피싱 불렀다"
이번 리포트는 2025년 대기업·커머스 플랫폼 연쇄 해킹 사태가 어떻게 서민의 금융 자산을 겨누는 정밀 피싱 범죄로 이어졌는지를 실데이터로 입증한다는 점에서 주목된다.
리포트에 따르면 2025년 전체 악성앱 탐지 건수는 92만 4,419건으로 전년 대비 약 11.2% 감소했다. 에버스핀은 이 수치를 긍정적 신호가 아닌 '위협의 고도화'로 진단한다. 불특정 다수에게 악성앱 설치를 유도하는 양적 공세 대신, 해킹으로 유출된 실명·전화번호·구매 이력 등을 토대로 속을 가능성이 높은 대상만 골라 공격하는 방식으로 범죄 양상이 진화했다는 것이다.
유형별로는 '전화 가로채기'가 전년 대비 24.1% 감소하고, '기관 사칭앱'도 30.1% 줄어든 반면, '개인정보 탈취' 유형은 전년 대비 53% 급증하며 전체 악성앱의 34.7%를 차지, 단일 유형 최대 위협으로 떠올랐다. 에버스핀은 이를 해킹 피해의 '2차 진화'로 분석한다.
1차 해킹으로 확보한 개인정보만으로는 금융사의 2차 인증을 뚫기 어렵기 때문에, 범죄자들이 SMS 인증번호와 신분증 이미지 등 핵심 정보 탈취를 위한 악성앱 배포에 집중했다는 설명이다. 특히 유출된 주문 내역을 활용해 '배송 지연 안내'를 사칭하는 등 피해자가 의심하기 어려운 맞춤형 메시지로 접근하는 수법이 기승을 부렸다.
특히 개인정보 탈취형 악성앱이 상반기(3~5월)에 급증한 점도 눈에 띈다. 이 시점 전후에 발생한 대규모 해킹으로 유출된 개인정보가 피싱 공격의 소재로 사용되기 시작한 시기와 맞아떨어진다고 밝혔다. 해킹과 피싱이 더 이상 별개의 사건이 아닌 원인과 결과로 이어진 범죄의 사슬임을 데이터로 입증한 것이다.
에버스핀 관계자는 "2025년의 해킹 대란은 범죄자들에게 어떤 앱을 만들어야 범죄가 성공할지를 알려준 가이드라인과 같았다"며 "이제는 사이버범죄의 시작점인 해킹까지 막아 개인정보를 더욱 철저히 보호해야 근본적인 피싱 방지라고 부를 수 있게 됐다"고 말했다. 이어 "기업이 고객의 정보를 지켜야 하는 법적 의무가 사회 전체를 금융범죄로부터 지키는 첫 번째 방어선"이라며 "정보보호 기술에 대한 투자는 비용이 아닌 고객과 사회에 대한 가장 중요한 약속"이라고 강조했다.
sglee640@beyondpost.co.kr
