[스포츠서울 | 표권향 기자] 2025년 대기업 및 커머스 플랫폼 연쇄 해킹 사고가 단순 개인정보 유출로 끝나지 않았다. 피해 규모는 개인 금융 자산을 정밀 타격하는 ‘지능형 피싱 범죄’의 기폭제로 작용, 2차 범죄에 노출된 것으로 밝혀졌다.

AI 보안 기업 에버스핀이 자체 악성앱 탐지 솔루션 ‘페이크파인더(FakeFinder)’로 정밀 분석한 결과, 지난해 전체 악성앱 탐지 건수는 전년 대비 약 11% 감소한 92만4419건으로 조사됐다.

하지만 이를 긍정적 신호가 아닌 ‘위협의 고도화’로 진단했다. 해커들은 해킹으로 확보한 실명·전화번호·상세 구매 이력 등의 데이터를 ‘확실한 타겟팅’과 ‘공격 가이드라인’으로 활용하는 것으로 파악됐다. 결국 지난해 발생한 대규모 데이터 유출 사태가 피싱 범죄의 체질을 완전히 바꿔놓은 것이다.

과거 불특정 다수에게 무작위로 앱 설치를 유도하는 ‘양적 공세’가 주를 이뤘다면, 지난해에는 유출된 정보를 바탕으로 ‘속을 수밖에 없는 사람’만 골라 공격하는 ‘질적 타격’으로 범죄 양상이 급변했다. 특정 기관 사칭 등 전통적인 보이스피싱은 ‘구식 수단’이 된 셈이다. 반면, 스마트폰 내 ‘개인정보 탈취’ 유형의 악성앱은 지난해보다 53%나 폭증(21만→32만 건)하며 최대 위협으로 부상했다.

에버스핀은 해커들이 유출된 개인정보를 실제 범죄에 악용하기 위해 ‘문자 인증번호’와 ‘신분증 이미지’ 등의 정보까지 확보를 위해 악성앱으로 개인정보탈취에 사활을 걸고 있다고 강조했다.

실제 공격자들은 유출된 상세 주문 내역을 미끼로 ‘배송지 오류 수정’ 등을 요구하며 접근한 뒤, 악성앱 설치를 유도한 것으로 파악됐다. 이후 문자 메시지, 연락처, 사진첩 등 권한을 탈취해 금융 인증을 우회할 수 있는 데이터를 수집했다.

에버스핀 관계자는 “2025년의 해킹 대란은 해커들에게 ‘어떤 앱을 만들어야 범죄가 성공할지’ 알려준 가이드라인과 같았다. 해킹으로 확보한 1차 데이터를 기반으로, 2차 핵심 정보를 탈취하기 위해 설계된 ‘정보 탈취 앱’이 기승을 부린 한 해”라며 “개인이 문자의 진위를 가려내기엔 한계에 다다른 만큼, 금융사들이 도입한 페이크파인더와 같은 전문 보안 기술이 서민들의 자산을 지키는 필수 안전장치가 되고 있다”고 당부했다. gioia@sportsseoul.com