블로그로 돌아가기
위협 인텔리전스·11분 분량

2026년 피싱 문자: 세 가지 실제 캠페인 해부

USPS 택배 사기, 가짜 통행료 청구서, 환불 확인 문자가 이제 모바일 사용자 대상 이메일 피싱보다 더 많은 자격 증명 탈취를 유발합니다. 세 가지 캠페인이 실제로 어떻게 작동하는지 — 미끼, 인프라, 지속되는 이유, 그리고 이를 탐지하는 방법까지 낱낱이 분석합니다.

작성: Casper's Cloak Security Team

간단 요약: SMS 피싱 — "스미싱" — 은 2024년경 모바일 사용자 대상 주요 자격 증명 탈취 경로로 이메일 피싱을 추월했으며, 2025~2026년에 걸쳐 더욱 가속화되고 있습니다. 그 이유는 구조적입니다. 스마트폰에는 SMS용 세이프 브라우징 기능이 없고, URL 미리보기는 거의 표시되지 않으며, 링크 단축 서비스는 정상적으로 보이고, 사람들은 데스크톱 브라우저에서 클릭할 때보다 훨씬 덜 꼼꼼하게 스마트폰에서 탭합니다. 현재 세 가지 캠페인이 대량으로 기승을 부리고 있습니다. 각각이 어떻게 작동하는지 정확히 살펴봅니다.

캠페인 1 — USPS 택배 "배달 불가" 스미싱

2023년부터 활동 중입니다. FTC/USPS 보고 기준 월 최대 약 500만 명 이상의 미국 수신자에게 발송됩니다. FBI와 보안 연구자들(Resecurity, Trend Micro)은 이를 중국어 "Smishing Triad" 클러스터로 귀속시켰습니다.

미끼

주로 오전 또는 이른 오후에 문자가 도착하며, 수신자의 택배가 "주소 불완전"으로 24시간 내에 세부 정보를 확인하지 않으면 반송된다고 알립니다. 문자에는 USPS처럼 보이는 링크(usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn 같은 변형)가 포함되어 있지만, 실제로는 몇 시간 또는 며칠 전에 등록된 일회용 도메인입니다. 대부분의 사람들은 택배를 기다리고 있기 때문에 — 아마존 주문, 온라인 쇼핑, 지인의 선물 — 이 타이밍이 효과를 발휘합니다.

클릭하면 어떻게 되나

픽셀 단위로 정교하게 복제된 USPS 페이지가 "재배송"을 위해 주소를 요구한 뒤, 신용카드 정보가 필요한 1.99~3.50달러의 "재배송 수수료"로 유도합니다. 카드 양식이 진짜 목적입니다. 전체 카드 번호, CVV, 만료일, 청구 주소, "배송 SMS 확인"을 위한 휴대폰 번호를 수집합니다. 카드 정보는 수 시간 내에 사용되거나 판매됩니다. 수집된 정보 — 성명, 주소, 전화번호, 카드 끝자리 4자리 — 는 후속 공격(가짜 은행 전화, 계정 탈취 시도)의 기반이 됩니다.

왜 효과가 있나

  • 대부분의 사람들은 항상 배송 중인 택배가 있어, 수신자가 내용을 믿을 사전 확률이 높습니다.
  • USPS는 일반적으로 문자를 보내지 않지만, 대부분의 사용자는 이를 모르고 브랜드는 누구나 알고 있습니다.
  • "소액 수수료"(1.99달러)는 항의하기에 너무 작게 느껴져 사람들이 그냥 결제하고 넘깁니다.
  • 도메인은 며칠마다 교체되므로 차단 목록 기반 방어는 캠페인보다 항상 뒤처집니다.

탐지 방법

도메인 패턴은 매우 예측 가능합니다: USPS 변형 하이픈 표기, .top / .cn / .info TLD, 중국어 등록 대행사를 통한 등록, Cloudflare 또는 AS 회전 프록시 뒤에 호스팅, 48시간 이내에 Let's Encrypt 또는 ZeroSSL에서 발급된 인증서. 이러한 특징으로 훈련된 ML 분류기는 PhishTank나 주요 상업용 차단 목록에 등록되기 훨씬 전에 누군가 처음 접근하는 순간 새 도메인을 탐지합니다. 이 분류기가 바로 네트워크 수준 위협 탐지의 핵심입니다.

캠페인 2 — 미납 통행료 스미싱(E-ZPass, SunPass, FasTrak)

2024년 각 주가 전자 요금 징수로 전환하면서 급증했습니다. FBI IC3은 2024년 4월 공개 주의보를 발령했습니다. 현재 미국 50개 주 전체(캐나다 사용자 포함)에서 주별 브랜드 변형으로 확산되고 있습니다.

미끼

"[주 교통부 또는 통행료 기관]: 미납 통행료 잔액이 4.27달러입니다. [날짜] 이전에 납부하지 않으면 연체료가 부과됩니다. 여기서 결제하세요: ezpass-payments[.]com." 금액은 소액입니다. 브랜드 이름은 해당 주에 맞게 변경됩니다(동북부는 "E-ZPass", 캘리포니아는 "FasTrak", 플로리다는 "SunPass", 텍사스는 "TxTag", 일리노이는 "I-Pass"). 링크는 얼핏 봐도 실제 통행료 웹사이트처럼 보입니다. 전자 요금제만 운영하는 주에 거주하는 수신자들 — 현재 미국 대부분의 지역 — 은 최근 유료 도로를 이용했을 가능성이 높습니다.

클릭하면 어떻게 되나

해당 주 통행료 기관의 결제 포털을 복제한 페이지가 주별로 맞춤화되어 나타납니다. 양식은 성명, 주소, 전화번호, 차량 번호판("위반 내역 조회"를 위해)을 요구한 뒤 소액 잔액에 대한 신용카드 정보를 요청하는 결제 화면으로 이동합니다. USPS 사례처럼 카드 데이터가 목적이지만, 이 캠페인은 번호판 데이터도 수집합니다 — 이는 후속 사기(가짜 DMV 사칭, 차량 등록 사기, 보험 사기 설정)에 유용합니다.

왜 효과가 있나

  • 통행료 기관은 실제로 문자나 우편으로 운전자에게 연락하므로 내용이 그럴듯합니다.
  • 대부분의 사용자는 정확한 통행료 금액을 모르기 때문에 소액 청구를 실제로 생각합니다.
  • "연체료" 또는 "DMV 보류" 위협이 확인 없이 결제를 유도합니다.
  • 주별 브랜드 모방으로 각 지역 주민들에게 익숙한 브랜드 이름이 표시됩니다.

탐지 방법

통행료 사기 도메인은 뚜렷한 특징을 보입니다: 호스트명에 브랜드명 + payments/pay/billing 포함, .com / .net / .top TLD, 등록 후 약 24~72시간 경과, 소수의 무료 CA에서 발급된 인증서, 공통 ASN 클러스터(Cloudflare, Namecheap, 느슨한 남용 정책으로 알려진 호스팅 제공업체). 도메인이 교체되더라도, 등록 연령 + 호스트명-브랜드 유사도를 기반으로 점수를 매기는 ML 분류기는 특정 기기에서 처음 관측된 도메인을 포함해 캠페인 계열 전체를 탐지합니다.

캠페인 3 — 환불 확인 문자(Apple, Amazon, Netflix, Walmart)

2024~2026년 내내 활동 중이며, 미국 세금 환급 시기(2~4월)와 블랙 프라이데이 / 사이버 먼데이 전후에 계절적 급증을 보입니다.

미끼

"Apple ID: [iCloud 저장공간 / Apple Music 연간 구독 / 기타]에 대한 239.99달러 결제가 오늘 승인되었습니다. 본인이 승인하지 않았다면 여기서 취소하세요: [링크]." 때로는 Amazon("[제품]에 대한 499.94달러 결제…")이 사용됩니다. 내용은 수신자가 하지 않은 결제 — 금전적 위협입니다. 호기심과 불안이 클릭을 유도합니다. 일부 변형은 반대 방향입니다: "237.45달러 환불이 준비되었습니다. 수령하려면 은행 계좌를 확인하세요." 같은 미끼, 반대 방향의 설정입니다.

클릭하면 어떻게 되나

해당 브랜드의 계정 로그인 페이지를 거의 완벽하게 복제한 페이지가 나타납니다. 여기서 탈취되는 자격 증명은 캠페인 1과 2의 신용카드보다 더 위험합니다: Apple ID나 Amazon 로그인은 계정 탈취의 문을 열어줍니다 — 전체 구매 내역, 저장된 결제 수단, 기프트 카드 잔액, 앱 스토어 구매 내역, 민감한 이메일 열람 권한, 동일 이메일을 SSO 복구에 사용하는 다른 서비스 접근까지 가능합니다. 많은 변형은 더 나아갑니다: 자격 증명 탈취 후 가짜 지원 채팅이나 "Apple" 콜백이 피해자를 SMS 2FA 코드를 소리 내어 읽도록 유도해 2단계 인증을 무력화합니다.

왜 효과가 있나

  • 실제 Apple/Amazon 결제 문자가 존재하므로 내용이 그럴듯합니다.
  • 금액은 불안을 주기에 충분히 크지만 불가능하게 크지 않도록 의도적으로 설정됩니다.
  • 계정 탈취는 단일 신용카드 탈취보다 공격자에게 더 가치 있습니다 — "성공적인" 자격 증명 탈취는 수 주에 걸친 후속 사기의 토대가 됩니다.
  • 자격 증명 페이지에서 실제로 입력하는 대상은 명백히 전환 중인 사람들입니다 — 환불 사기 운영자는 지원 전화 에스컬레이션을 포함해 이들에게 후속 집중 공격을 가합니다.

탐지 방법

환불 사기 도메인은 apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com처럼 보이는 경향이 있습니다 — 단명, 브랜드 스푸핑, 알려진 남용 친화적 등록 대행사를 통한 등록. 분류기 신호는 다른 캠페인과 본질적으로 동일합니다: 호스트명-브랜드 유사도("apple.com", "amazon.com", "netflix.com" 대비 레벤슈타인 거리 점수), 등록 연령, 인증서 제공업체, 호스팅 인프라. 어떤 특정 브랜드 변형이 사용되든 관계없이 처음 관측되는 순간 캠페인을 탐지합니다.

세 캠페인의 공통 패턴

세 캠페인은 하나의 클래스로 탐지 가능한 구조적 특징을 공유합니다:

  • 최근 등록된 도메인 — 보통 1주일 미만, 종종 24시간 미만.
  • 알려진 브랜드의 호스트명 모방 — 알려진 브랜드 목록 대비 문자열 거리 점수로 측정 가능.
  • Let's Encrypt 또는 ZeroSSL의 무료 인증서 — 합법적인 사이트도 사용하지만, "신규 도메인 + 무료 인증서 + 브랜드 사칭 호스트명" 조합은 예측력이 매우 높습니다.
  • 소수의 남용 허용 제공업체 호스팅 — Cloudflare 프론팅, 테이크다운이 느린 관할권의 오리진 서버.
  • 알려진 피싱 킷과 일치하는 페이지 템플릿 — 도메인별 UI 자산이 캠페인 전반에 걸쳐 재사용됩니다.
  • URL 구조 — 무작위처럼 보이는 토큰이 포함된 긴 경로, 쿼리 문자열 리다이렉트 빈번 사용.

탐지하지 못하는 것들

  • iOS 세이프 브라우징은 Safari에서만 작동합니다. 메시지 앱에서 탭된 피싱 링크는 동일한 보호가 적용되지 않는 웹 뷰에서 열립니다.
  • 통신사 수준 SMS 필터링은 일부 트래픽을 차단하지만 교체 주기가 느려 캠페인은 발신 번호를 조정하고 필터는 영구적으로 뒤처집니다.
  • "수상한 링크를 클릭하지 마세요" — 좋은 조언이지만 사용자가 실제로 택배, 환불, 또는 통행료를 기다리고 있는 소수의 문자에는 통하지 않습니다. 대량 발송이 전략입니다.
  • 순수 차단 목록(PhishTank, OpenPhish 등) — 이는 사후 대응입니다. 도메인이 신고되고 추가될 때쯤이면 이미 수 시간~수 일 동안 활성 상태였으며, 캠페인 운영자는 목록이 따라잡기 전에 교체합니다.

실제로 탐지하는 것

DNS 확인 시점에 목적지 도메인에 ML 분류기를 실행하는 네트워크 수준 위협 탐지입니다. 분류기는 특정 URL이 어딘가에 신고될 필요가 없습니다 — 위에서 설명한 구조적 특징(등록 연령, 브랜드 유사도, 인증서 제공업체, 호스팅 ASN, URL 형태)에 점수를 매기고 위험 임계값을 초과하는 도메인의 확인을 거부합니다. 이것이 Casper의 위협 보호 레이어의 전체 아키텍처이며(자세한 설명은 여기), 이 세 캠페인의 격차를 실질적으로 해소하는 유일한 방법입니다.

좀 더 미묘한 이점도 있습니다: Casper의 분류기는 오탐(사용자가 차단을 잘못된 것으로 표시)을 재훈련에 반영합니다. 위의 세 캠페인은 이제 잘 분류되지만, 이를 운영하는 조직은 계속해서 전술을 바꿉니다 — 새 TLD, 새 등록 대행사, 새 호스팅 패턴. 지속적으로 학습하는 모델은 어떤 정적 차단 목록보다 빠르게 적응합니다.

결론

스미싱이 지금 우세한 이유는 SMS가 모바일 사용자들이 가장 경계하지 않는 채널이고, OS에 내장된 보호 기능은 하나의 브라우저만 커버하며, 주요 캠페인들이 사후 대응 차단 목록이 업데이트되는 것보다 빠르게 도메인을 교체하기 때문입니다. 핵심 지점은 DNS 레이어입니다 — 클릭된 모든 링크는 브라우저가 열리기 전에 DNS 쿼리를 수행하며, 이 쿼리가 개입하기 가장 적절한 지점입니다. 이 글에서 한 가지만 기억하세요: 문자에서 받은 결제 링크는 절대 탭하지 마세요. 앱을 직접 여세요. 그 몇 초가 전부입니다.

검토: Casper's Cloak Security Team · 최종 업데이트

탭하기 전에 다음 피싱 링크를 차단하세요

Casper's Cloak은 위에서 설명한 네트워크 수준 위협 탐지 레이어를 iPhone, Mac, Android의 모든 앱에서 실행합니다. 처음 관측된 피싱 도메인은 ML 레이어에 의해 빠르게 탐지됩니다.