스미싱·피싱 진짜 구별법

요즘은 택배 문자 한 통만 와도 한 번쯤 멈칫하게 됩니다.

스미싱이나 피싱 사기가 워낙 다양해지고 정교해져서, 평소라면 아무렇지 않게 넘길 메시지도 괜히 의심하게 되죠.

저 역시 최근 몇 달 사이에 ‘배송 불가’, ‘세금 환급’, ‘통관 확인’ 같은 문자를 여러 번 받아서 진짜인지 다시 확인하곤 했습니다.

 

이번 글은 그런 불안감을 조금 줄여드리기 위해, 실제로 사람들이 가장 많이 착각하는 부분과 ‘딱 보면 구별되는 요소’만 정리해보려고 합니다.

 

1. 왜 최근 스미싱·피싱 문자가 더 늘었을까?

스미싱이 늘어난 가장 큰 이유는 문자 한 통 보내는 비용이 거의 들지 않기 때문입니다.

특히 연말·연초에는 택배량과 세금 안내 문자가 많아져 수신자들이 평상시에 비해 상대적으로 덜 신경을 쓰기 때문에 공격받기에 쉬울 수 있습니다.

실제로 KISA(한국인터넷진흥원)는 연중 이 시기를 ‘스미싱 주의 기간’으로 따로 분류하기도 합니다. 사람들은 바쁘고, 문자 형태가 익숙하니 자연스럽게 눌러버리기 쉽습니다.

2. 대부분의 스미싱은 똑같은 패턴을 가진다.

겉모습은 다 달라 보여도 내부 구조는 거의 같습니다. 아래 5가지는 실제 공격에서 반복적으로 등장하는 패턴입니다.

• 급한 상황을 만들어 링크를 누르게 한다 (배송 불가, 환불, 체납 등)
• ‘지금 바로 확인’을 강조한다
• 문자 안에서 앱 설치를 요구한다
• 공식 번호가 아닌 일반 휴대폰 번호로 발송
• 링크가 짧은 URL이거나 의미 없는 문자 조합(URL 단축)

이 다섯 가지 중 두 개 이상 포함돼 있다면 거의 90%는 스미싱이라고 보셔도 됩니다.

3. 정상 문자 vs 피싱 문자 실제 비교

실제로 비교해보면 차이가 꽤 뚜렷합니다.

• 정상 문자: ‘[CJ대한통운] 배송 예정 안내’처럼 업체명으로 시작하고, 링크가 ‘https://www.cjlogistics.com/...’처럼 정식 도메인을 사용합니다.
• 스미싱 문자: ‘CJ택배 배송불가 http://adk30.info’처럼 택배사 이름을 흉내만 내고, 도메인이 이상하게 짧거나 숫자·문자 조합일 확률이 높습니다.

특히 CJ·우체국·쿠팡을 사칭한 문자는 하루에도 수천 건씩 신고되기 때문에, 진짜 택배인지 헷갈린다면 문자 링크를 누르지 않고 해당 앱을 직접 실행해 확인하는 편이 안전합니다.

 

4. URL만 보면 80% 구별이 가능하다.

스미싱 링크는 겉으로 보기에 매우 비슷하게 꾸미지만, 자세히 보면 아래 특징이 있습니다.

• 도메인이 ‘.top’, ‘.click’, ‘.info’, ‘.xyz’처럼 생소하다
• 영문+숫자를 섞은 랜덤 주소 (예: http://hj392k.com/a3b)
• 회사 이름처럼 보이지만, 실제 도메인 소유주가 다름
• URL 길이가 지나치게 짧거나 지나치게 길다

특히 택배사는 대부분 .com .kr 정식 도메인을 사용합니다. 형식이 다르면 일단 의심하는 것이 좋습니다.

 

5. 실제 스미싱 공격에서 자주 쓰이는 문구 유형

제가 직접 모아본 스미싱 문자 중 가장 자주 등장한 표현은 다음과 같습니다.

• “배송 정보 미입력으로 반송 처리 예정”
• “세금 환급 대상 조회”
• “통관 확인 필요”
• “불법 촬영 피해자 안내” (최근 급증)
• “계정 이용 제한 안내”

공통점은 모두 심리를 자극해서 링크를 누르게 한다는 점입니다.

 

6. 링크를 눌러버렸다면? (휴대폰 감염 판단법)

실수로 링크를 누른 것만으로는 대부분 감염되지 않습니다. 다만, 아래 3가지가 뜨면 바로 조심해야 합니다.

• 앱 설치 창이 자동으로 열린다
• “보안 업데이트 필요”라는 문구로 APK 설치를 요구한다
• 기기 관리자 권한 허용을 요구한다

이 세 가지가 나오면 100% 악성 앱입니다. 즉시 창을 닫고, 설치하지 않는다면 대부분 피해는 없습니다.

 

7. 택배·세금·환급 사칭 문자 구별 팁

최근 가장 많이 오는 유형이 택배·세금 환급 문자입니다. 몇 가지만 기억하면 쉽게 구별할 수 있습니다.

• 택배사는 ‘배송 불가’ 같은 문구를 문자로 보내지 않습니다.
• 국세청·지방세청은 환급 안내를 문자 링크로 보내지 않습니다.
• 관세청 통관은 “모바일 관세청 앱” 또는 “수입화물 진행조회”에서만 확인 가능합니다.

링크가 있으면 일단 의심하세요!!

 

8. 앱 설치 유도는 100% 스미싱

정상 서비스는 절대 문자로 앱 설치 파일(APK)을 보내지 않습니다. 만약 문자에서 앱 설치를 요구한다면 고민할 필요도 없이 스미싱입니다.

 

9. 스미싱 신고는 국번없이 118

스미싱 문자를 받았다면 국번없이 118(KISA)로 신고할 수 있습니다. KISA는 실제 URL 분석, 악성 앱 여부 확인, 대응 절차까지 안내해줍니다.

또한, KISA 보호나라(boho.or.kr)에서도 스미싱 신고와 예방 정보를 확인할 수 있습니다.

 

10. 피해를 당했다면 즉시 해야 할 일

링크를 눌러 결제가 발생했거나 개인정보를 입력했다면 아래 절차를 따라야 합니다.

• 금융 피해: 해당 은행·카드사에 ‘지급정지’ 요청 → 금감원 1332 전화
• 악성 앱 설치: 보안앱 실행 → 기기 관리자 권한 제거 → 앱 삭제
• 개인정보 입력: KISA 118 신고 → 필요 시 경찰청 사이버수사대 신고

빠르게만 대응하면 피해를 대부분 줄일 수 있습니다.

 

 

이번 글은 “링크 누르기 전·후에 무엇을 보고 판단해야 하는지”를 중점으로 정리해봤습니다.

특히, 연말과 택배 성수기에는 스미싱이 평소보다 훨씬 많으니, 오늘 내용만 기억해도 훨씬 안정적으로 대처하실 수 있을 겁니다.

 

속지 마세요! 피싱, 스미싱!!