이 문자 절대 클릭하지 마세요 — 88만 명이 당한 스미싱 수법과 탈출법
이 문자 절대 클릭하지 마세요 — 88만 명이 당한 스미싱 수법과 탈출법
결론부터: 출처 불명의 URL이 담긴 문자는 클릭하지 말고 즉시 삭제하세요. 이게 스미싱 피해를 막는 가장 확실한 방법입니다.
2024년 상반기에만 스미싱 피해 신고가 약 88만 7,800건에 달했습니다.
2020년 이후 가장 많은 수치입니다.
그리고 지금 이 순간에도 새로운 수법이 나오고 있습니다.
고유가 지원금 사칭, QR코드 변조, 원격제어 앱 설치 유도까지 — 수법은 갈수록 정교해지고 있습니다.
이 글에서는 KISA(한국인터넷진흥원) 공식 보안 권고와 실제 피해 통계를 바탕으로, 스미싱을 예방하고 피해 발생 시 탈출하는 방법을 단계별로 정리합니다.
스미싱이란? 지금 왜 더 위험한가
스미싱(Smishing)은 SMS + Phishing의 합성어입니다.
문자메시지 안에 악성 URL을 심어 클릭을 유도하고, 피싱사이트 접속이나 악성 앱 설치를 통해 개인정보와 금전을 탈취하는 수법입니다.
스미싱은 부고장, 택배 수취 확인처럼 일상에 밀접한 내용으로 피해자를 속입니다.
클릭 한 번이 이런 결과로 이어집니다.
- 소액결제 사기
- 로맨스 스캠
- 개인정보 탈취
- 보이스피싱
- 몸캠 피싱
특히 지금이 더 위험한 이유가 있습니다.
코로나19로 주춤했던 금융 범죄가 엔데믹 이후 다시 급증했습니다.
2021년 약 50억 원이었던 스미싱 피해액이, 2023년에는 약 144억 원으로 불과 2년 만에 3.6배 폭등했습니다.
2024~2026년 스미싱 피해 현황 (숫자로 보는 실태)
| 연도 | 주요 지표 |
|---|---|
| 2020년 | 피해 신고 약 95만 건 (역대 최고) |
| 2021년 | 피해액 약 50억 원 |
| 2022년 | 피해액 약 40억 원 (일시 감소) |
| 2023년 | 피해액 약 144억 원 (전년 대비 3.6배 급등) |
| 2024년 상반기 | 피해 신고 약 88만 7,800건 (2020년 이후 최대) |
피해 연령대도 바뀌었습니다.
2020년에는 40~50대가 전체 피해의 58.5%를 차지했습니다.
그런데 2023년 기준으로는 50~60대가 62.9%로 비중이 역전됐습니다.
디지털에 상대적으로 익숙하지 않은 고령층이 주요 표적이 되고 있다는 뜻입니다.
부모님, 조부모님이 특히 위험합니다.
실제 경험담 — "우리 어머니도 당했습니다"
사실 이 글을 쓰게 된 계기가 있습니다.
저희 어머니도 스미싱 피해를 입으셨습니다.
처음엔 평범한 문자였습니다. 안내대로 앱을 설치하셨고, 얼마 지나지 않아 전화가 왔습니다.
"서울중앙지검입니다. 출두하셔야 합니다."
옆에 계시던 아버지가 바로 알아채셨습니다.
"그거 스미싱이야, 끊어."
그런데 어머니는 듣지 않으셨습니다.
전화 목소리는 너무나 공식적이었고, "출두하지 않으면 체포영장이 발부된다"는 말에 이미 겁을 먹으신 상태였습니다. 옆에서 아무리 말려도 소용이 없었습니다. 범죄자들이 전화를 끊지 못하게 하면서 계속 몰아붙이는 수법입니다.
결국 제가 직접 전화를 빼앗아서야 상황이 끝났습니다.
나중에 어머니께 여쭤보니 이런 말씀을 하셨습니다.
"목소리가 하도 당당하니까 진짜인 줄 알았지. 옆에서 뭐라고 해도 귀에 안 들어오더라고."
이게 바로 보이스피싱의 핵심 수법입니다.
상대방을 공포 상태로 몰아넣어, 가까운 사람의 말조차 들리지 않게 만드는 것.
검찰·경찰·금융감독원은 전화로 계좌 정보를 요구하거나 앱 설치를 유도하지 않습니다. 전화를 받는 순간 이상하다 싶으면, 일단 끊고 112에 직접 확인하세요.
2026년 신종 수법 3가지 — 지원금 사칭·큐싱·보이스피싱
수법을 알아야 피합니다. 지금 가장 기승을 부리는 3가지를 정리했습니다.
수법 1. 고유가 피해 지원금 사칭 스미싱
최근 고유가 지원 대책에 대한 사회적 관심을 노린 신종 수법이 등장했습니다.
KISA가 2026년 4월 공식 보안 권고를 발령할 만큼 피해가 우려되는 상황입니다.
구체적인 수법은 이렇습니다.
- 스미싱: "정부24", "지역화폐 앱", "카드사" 등을 사칭해 지원금 신청 안내 문자 내 악성 URL 클릭 유도
- 피싱사이트: 포털 검색 시 광고 형태로 노출되어 개인정보 탈취
- 보이스피싱: "지원금 대상자 통보"를 빙자해 원격제어 앱 설치 유도
👉 핵심 원칙: 정부가 문자로 먼저 지원금을 안내하는 경우는 거의 없습니다. 반드시 공식 사이트(정부24: gov.kr)에서 직접 확인하세요.
수법 2. QR코드 변조 '큐싱(Qshing)'
전동킥보드, 따릉이 등 공유 모빌리티를 이용할 때 QR코드를 스캔해 접속하게 됩니다.
범죄자는 이 QR코드를 특수 필름으로 변조해 피싱사이트로 유도합니다.
아직 뚜렷한 기술적 예방책이 없는 상황이라 더 위험합니다.
👉 길거리에서 QR코드를 스캔할 때는 접속 URL이 공식 도메인인지 반드시 확인하세요.
수법 3. 원격제어 앱 설치 유도
"지원금 대상자 통보" 또는 "지급 절차 안내"를 빙자해 원격제어 앱 설치를 유도합니다.
이 점만 기억하면 됩니다.
정부기관과 금융회사는 전화나 문자로 원격제어 앱 설치를 절대 요구하지 않습니다.
스미싱 문자 예방법 7가지 (체크리스트)
아래 7가지 중 지금 당장 실천할 수 있는 것부터 시작하세요.
다음 7가지를 습관으로 만들면 스미싱 피해를 크게 줄일 수 있습니다.
✅ 1. 출처 불명 URL은 절대 클릭하지 않는다
문자 수신 시 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제하시거나 누르지 마세요, 요즈음 택배회사등 고객들을 중요한 곳들은 사이트 주소를 첨부하지 않는 추세입니다.
✅ 2. 의심되는 URL은 공식 사이트와 비교한다
비슷하게 생긴 주소(예: gov24.kr 대신 gov-24.net)는 피싱사이트일 가능성이 높습니다.
✅ 3. 개인정보·인증번호를 타인에게 절대 전달하지 않는다
휴대폰번호, 아이디, 비밀번호는 신뢰된 사이트에만 입력하고, 본인확인 인증번호는 그 누구에게도 알려주지 마세요.
✅ 4. 번호도용 문자 차단 서비스를 신청한다
악성 앱 감염이 의심된다면 이동통신사 부가서비스에서 무료로 신청할 수 있습니다.
내 번호로 스미싱 문자가 재발송되는 2차 피해를 막을 수 있습니다.
✅ 5. 공유 모빌리티 QR코드는 URL을 먼저 확인한다
접속되는 주소가 공식 앱/도메인인지 확인한 후 진행하세요.
✅ 6. 모바일 백신을 설치하고 정기적으로 점검한다
스미싱 피해자 다수는 보안 장벽이 상대적으로 낮은 안드로이드 기기를 통해 범죄에 노출됐습니다.
안드로이드 사용자라면 특히 모바일 백신 점검이 중요합니다.
✅ 7. 주변 가족(특히 50~60대 이상)에게 반드시 알린다
피해 연령대가 50~60대로 상향되는 추세입니다.
이 글을 부모님, 조부모님께 공유하는 것 자체가 최고의 예방입니다.
스미싱 피해 발생 시 단계별 탈출법
문자를 클릭했거나 앱을 설치했다면 당황하지 말고 순서대로 진행하세요.
1단계 — 악성 앱 즉시 삭제
URL을 클릭하는 것만으로는 악성 앱에 감염되지 않습니다.
하지만 앱을 설치했다면 즉시 조치해야 합니다.
- 모바일 백신으로 악성 앱 설치 여부 검사
- 악성 앱 발견 시 즉시 비행기 모드 전환 후 112 신고
- ⚠️ 악성 앱이 휴대폰을 원격 제어할 수 있으므로 주변 사람의 전화기로 신고
- 수동 삭제가 어려우면 가까운 휴대폰 서비스센터 방문
2단계 — 모바일 결제 취소 절차
- 통신사 고객센터로 모바일 결제 내역 확인
- 피해 확인 시 스미싱 문자 캡처
- 통신사 고객센터에 스미싱 피해 신고 및 소액결제확인서 발급
- 관할 경찰서 사이버수사대 방문 → 사건사고 사실 확인서 발급
- 확인서 지참 후 통신사·결제대행업체에 피해 보상 요구
3단계 — 공인인증서 폐기 및 재발급
감염된 스마트폰으로 금융서비스를 이용했다면 공인인증서와 보안카드 정보가 유출됐을 수 있습니다.
해당 정보를 즉시 폐기하고 재발급받으세요.
4단계 — 신고 및 상담 연락처
| 기관 | 연락처 |
|---|---|
| 전기통신금융사기 통합신고대응센터 | 1566-1188 |
| KISA 인터넷침해대응센터 | 국번 없이 118 |
| 스미싱 문자 신고 (온라인) | counterscam112.go.kr |
스미싱 확인 서비스 사용법 (KISA 보호나라)
의심스러운 문자가 왔을 때 전문가 없이도 직접 판별할 수 있는 무료 서비스가 있습니다.
KISA 카카오톡 채널 '보호나라' 입니다.
사용 방법
- 카카오톡 검색창에서 "보호나라" 검색
- 채널 추가 후 의심 문자 내용 또는 URL 전송
- 스미싱 여부 결과 확인
스마트폰 문자 수신 화면의 '스팸으로 신고' 기능도 함께 활용하면 더 효과적입니다.
지금 바로 채널을 추가해두세요. 필요할 때 찾으면 늦습니다.
FAQ
Q1. 문자 안의 URL을 클릭하기만 해도 해킹되나요?
URL 클릭만으로는 악성 앱에 감염되지 않습니다. 하지만 해당 페이지에서 앱 설치를 허용하거나 개인정보를 입력하면 피해가 발생합니다. 클릭 후 아무것도 입력하지 않고 바로 닫았다면 크게 걱정하지 않아도 됩니다. 다만 의심된다면 모바일 백신으로 점검하는 것을 권장합니다.
Q2. 큐싱(Qshing)은 어떻게 예방하나요?
QR코드를 스캔한 후 접속되는 URL이 공식 앱스토어(Google Play, App Store)나 공식 도메인인지 확인하세요. 주소가 이상하거나 앱 설치를 요구하면 즉시 닫고 해당 서비스의 공식 채널로 신고하세요.
Q3. 이미 개인정보를 입력했다면 어떻게 하나요?
금융 정보(계좌번호, 카드번호)를 입력했다면 해당 은행이나 카드사에 즉시 연락해 계좌 지급정지를 요청하세요. 공인인증서나 보안카드 정보도 입력했다면 즉시 폐기하고 재발급받아야 합니다. 피해가 발생했다면 1566-1188 또는 118로 즉시 신고하세요.
Q4. 부모님이 스미싱 문자를 받았다면 어떻게 도와드려야 하나요?
먼저 문자를 삭제하게 하고, URL을 클릭했는지 확인하세요. 앱을 설치했다면 위의 '단계별 탈출법'을 따라 처리하면 됩니다. 평소에 카카오톡 '보호나라' 채널을 부모님 스마트폰에 추가해두면 큰 도움이 됩니다.
Q5. 안드로이드가 아이폰보다 더 위험한가요?
스미싱 피해자 다수가 안드로이드 기기를 통해 피해를 입은 것은 사실입니다. 안드로이드는 공식 앱스토어 외 외부 경로(APK 파일)로 앱 설치가 가능한 구조이기 때문입니다. 아이폰도 피싱사이트를 통한 개인정보 탈취 피해는 발생할 수 있으므로 안심할 수는 없습니다.
결론 — 의심스러우면 일단 멈추는 것이 최선
스미싱 범죄는 성별·연령을 가리지 않는 '묻지마 금융사기'입니다.
피해는 갈수록 지능화되고 있지만, 예방법은 단순합니다.
| 상황 | 행동 |
|---|---|
| 출처 불명 URL 포함 문자 수신 | 클릭 금지 → 즉시 삭제 |
| 원격제어 앱 설치 요구 | 무조건 거부 (정부·금융기관은 요구 안 함) |
| 의심 문자 확인 필요 | 카카오톡 '보호나라' 채널 활용 |
| 피해 발생 시 | 118 또는 1566-1188 즉시 신고 |
이 글이 도움이 됐다면, 지금 바로 부모님께 공유해 주세요.
문자 한 통에 평생 모은 돈이 사라지는 일, 충분히 막을 수 있습니다.
출처
KISA 보호나라 보안공지 — 고유가 피해 지원금 사칭 피싱 주의 권고 (2026.04.16)
보안뉴스 — '평생 모은 돈, 문자 한 통에 털렸다'... 올 상반기 스미싱 피해 88만 건 (2024.10.10)
전기통신금융사기 통합신고대응센터: 1566-1188
KISA 인터넷침해대응센터: 118