에버스핀 “2025년 대기업 해킹 나비효과로 ‘정보 탈취’ 53% 급증”

2025년 국내 대기업과 커머스 플랫폼을 겨냥한 연쇄 해킹 사고가, 단순 개인정보 유출을 넘어 서민 금융자산을 직접 노리는 지능형 피싱 범죄로 이어진 것으로 나타났다.

에버스핀(대표 하영빈)은 자사 악성앱 탐지 솔루션 페이크파인더(FakeFinder)의 2025년 데이터를 분석한 결과, 대규모 데이터 유출 이후 피싱 범죄의 공격 방식이 근본적으로 변화했다고 26일 밝혔다.

에버스핀에 따르면, 2025년 전체 악성앱 탐지 건수는 92만4419건으로, 전년 104만 건 대비 약 11% 감소했다. 그러나 에버스핀은 이를 위협 감소가 아닌 ‘공격의 고도화’로 진단했다. 해킹으로 확보한 실명, 전화번호, 구매 이력 등 구체적인 개인정보가 공격자에게 명확한 타겟팅 기준을 제공했기 때문이다.

과거에는 불특정 다수를 대상으로 무작위 설치를 유도하는 방식이 주를 이뤘다면, 지난해부터는 유출 정보를 바탕으로 특정 개인을 정밀하게 겨냥하는 공격이 늘었다는 설명이다.

유형별 통계에서도 변화가 확인된다. 전통적인 보이스피싱 수법인 전화 가로채기 악성앱은 전년 대비 24.1% 감소했고, 기관이나 기업을 단순히 흉내 낸 사칭 앱도 30.1% 줄었다. 에버스핀은 이를 두고 기존의 단순한 전화 사기나 기관 사칭 방식에 대한 이용자 경계심이 높아진 결과로 분석했다.

반면 스마트폰 내 민감 정보를 직접 수집하는 개인정보 탈취 악성앱은 전년 대비 53% 증가하며 가장 큰 위협 유형으로 떠올랐다. 에버스핀은 해킹으로 확보한 1차 정보만으로는 금융사 추가 인증을 우회하기 어려워, 문자 인증번호나 신분증 이미지 등 핵심 정보를 확보하기 위한 수단으로 악성앱이 활용되고 있다고 설명했다.

실제 공격자들은 유출된 구매 내역이나 배송 정보를 근거로 배송지 오류 수정 등을 이유로 접근해 피해자의 경계를 낮춘 뒤 앱 설치를 유도한 것으로 분석됐다. 이후 악성앱은 통화 기능보다 문자 메시지, 연락처, 사진첩 접근 권한을 중심으로 정보를 수집하는 데 집중했다.

에버스핀 관계자는 “2025년의 대규모 해킹 사고는 공격자에게 어떤 형태의 악성앱이 범죄 성공률을 높이는지 알려준 가이드라인과 같았다”며 “유출된 정보를 기반으로 추가 핵심 정보를 탈취하기 위한 정보 탈취형 악성앱이 급증했다”고 말했다.

이번 분석은 KB국민은행, 카카오뱅크, 한국투자증권, 신한투자증권, KB국민카드, 우리카드, DB손해보험, SBI저축은행, 저축은행중앙회 등 국내 주요 금융사가 페이크파인더를 통해 축적한 탐지 데이터를 바탕으로 이뤄졌다. 에버스핀은 상세 분석 결과를 담은 리포트를 오는 2월 공개할 예정이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network