사이버 보안

택배 문자 피싱 링크 클릭 후 발생한 계정 탈취 사례와 사이버 보안 수칙

info-news2 2025. 7. 11. 13:38

“택배 배송 준비 중입니다” 그 한 줄에 속은 당신의 계정

2024년, 대부분의 사람들은 하루에도 몇 번씩 택배를 주문하거나 기다린다.
이 틈을 노린 범죄 수법 중 가장 흔하면서도 강력한 것이 바로 택배 문자 피싱(Smishing)이다.

택배 문자 피싱 링크 클릭 후 발생한 계정 탈취 사례와 사이버 보안 수칙

“배송 주소 오류로 배송이 지연되었습니다.”
“CJ대한통운입니다. 배송 조회는 이 링크를 눌러주세요.”
이런 문자를 받고 아무 의심 없이 링크를 클릭한 순간,
당신의 스마트폰은 이미 악성 앱 설치, 계정 탈취, 금융 정보 유출의 통로가 되었을 수 있다.

이번 글에서는 실제 피해 사례를 중심으로 택배 문자 피싱의 위험성과 구체적인 예방 방법을 살펴본다.

 

문자 하나로 계정, 연락처, 통장 정보까지 털린 직장인 김씨의 경험

2024년 5월, 김씨(34)는 택배 수령 중이던 어느 날
“배송 지연 안내”라는 문자를 받았다.
해당 문자는 CJ대한통운 로고와 함께,
“정확한 배송을 위해 주소를 다시 입력해 주세요”라는 메시지와 짧은 링크를 포함하고 있었다.

그는 큰 의심 없이 링크를 클릭했고,
이후 배송 조회 페이지와 비슷한 화면이 떠서
자연스럽게 휴대폰 인증번호와 이름, 주소, 연락처를 입력했다.

하지만 그날 밤부터 그는 구글 계정에서 로그아웃되었고,
자신의 네이버·카카오 계정이 갑자기 잠긴 것을 알게 되었다.
며칠 뒤엔 인터넷 뱅킹 계좌에서 98만 원이 인출되었으며, 문자메시지 내역도 삭제되어 있었다.

전문가 분석 결과, 그는 링크 클릭 시
스마트폰에 악성 APK 파일이 자동 설치되었으며,
이 파일이 문자 수신·전송 권한을 탈취하고,
금융 인증 및 2단계 인증번호를 공격자에게 전달한 것으로 확인되었다.

 

택배 피싱(Smishing)의 작동 방식

택배 피싱은 다음과 같은 절차로 개인정보와 계정을 탈취한다:

단계                                                                               설명
📩 ① 가짜 문자 전송 CJ, 로젠, 우체국 등 택배사 사칭 문자 발송
🔗 ② 링크 클릭 유도 단축 URL 또는 유사 도메인을 포함
📲 ③ 악성 앱 다운로드 유도 APK 파일 자동 다운로드 또는 설치 유도
👁️ ④ 권한 탈취 문자 열람, 키보드 입력, 연락처 접근, 통화 감청
🧾 ⑤ 인증번호 가로채기 SMS 인증번호, 금융앱 2차 인증 토큰 탈취
💳 ⑥ 계정 로그인 시도 및 금전 탈취 이메일·SNS·금융앱 계정 로그인 → 정보 탈취
 

 

주요 피해 유형 정리

  1. 구글·네이버 계정 탈취
    • 이메일 계정을 탈취한 뒤,
      비밀번호 재설정 → 각종 계정 통합 접속 시도
  2. 금융 계좌 무단 인출
    • 인증번호 가로채기, 피싱 앱을 통한 계좌 접근으로 인출 피해
  3. 스마트폰 완전 감시
    • 연락처, 사진, 캘린더, 통화기록까지 외부 서버로 전송
  4. 지인 사칭 스미싱 2차 전파
    • 피해자의 명의로 주변인에게 피싱 문자 자동 전송
  5. 사회적 평판 및 업무 정보 유출
    • 메신저·이메일 계정 해킹 후 회사, 동료에게 사칭 메시지 전송

 

실제 피해 통계 (KISA, 경찰청 2024년 1분기 기준)

  • 스미싱 문자 신고 건수: 12,340건
  • 실제 악성 앱 설치 후 피해 발생 사례: 3,142건
  • 가장 흔한 피싱 유형: 택배 배송 문자 53.7%, 모바일 청구서 사칭 21.4%, 금융기관 사칭 13.8%

 

택배 피싱 문자 특징 TOP 5

항목                                                                   특징
🧾 공식 도메인을 흉내냄 cj-logi.com, c-delivery.kr 등 실제와 유사한 주소 사용
🔗 단축 URL 포함 bit.ly, me2.do 등으로 원본 링크 숨김
🆔 택배사 로고 이미지 첨부 가짜 앱이나 HTML 안에 로고 삽입해 신뢰 유도
📆 시간 제한 강조 “3시간 이내 주소 미확인 시 반송” 등 긴급성 조장
🧿 앱 설치 유도 화면 자동 노출 설치 버튼 클릭 시 악성 앱 자동 다운로드
 

 

예방 수칙: 스미싱 피해를 막기 위한 7가지 실천

1. 출처 불분명한 문자 링크 클릭 금지

  • 아무리 로고와 문구가 정교해도, 공식 앱으로만 확인

2. 택배는 앱 또는 공식 홈페이지로만 조회

  • CJ대한통운, 로젠택배 등 공식 앱 또는 카카오 알림톡 확인

3. 안드로이드폰 ‘알 수 없는 출처 앱 설치 금지’ 설정

  • 설정 > 보안 > 알 수 없는 앱 설치 차단

4. 스미싱 차단 앱 설치

  • ‘후후’, ‘T가드’, ‘알약M’ 등 스미싱 탐지 기능 탑재된 앱 사용

5. 문자 내역 자동 삭제 차단 설정

  • 악성 앱이 문자 삭제 못 하도록 알림 접근 권한 최소화

6. 이상 징후 발생 시 즉시 기기 초기화

  • 악성코드 의심 시 공장 초기화 후 복구 권장

7. 개인정보 유출 시 금융회사·포털에 즉시 신고

  • 구글, 네이버, 금융사 등 계정 보안 조치 필수

 

피싱은 문자의 문제가 아니라, 신뢰의 문제다

우리는 익숙함을 신뢰하고, 그 신뢰를 이용하는 것이 피싱 범죄다.
택배는 기다릴 수 있지만, 클릭은 되돌릴 수 없다.
스미싱은 단순한 문자가 아니라, 디지털 침입의 문이 될 수 있다.

앞으로는 “배송 조회 링크”를 받았을 때,
반사적으로 클릭하기보다 앱을 먼저 열어보자.
작은 의심이 나를 지키는 가장 강력한 방패가 될 수 있다.