하나카드 스미싱 문자 대처 방법 4가지: 만들지도 않았는데 문자가?
지난번, 하나카드 발급이 완료되었다는 문자를 받은 적이 있습니다. 정작 하나카드는 만들지도 않았는데 말이죠. 내 정보가 도용되어 누가 카드를 만든 것은 아닐까 싶어 무척 당황스러웠습니다. 이 문자가 사실인지 아닌지 확인하고 싶었습니다. 이런 문자를 받았을 때는 어떻게 해야 할까요?
하나카드 만들지도 않았는데 문자가?
그런데, 문자를 다시 한번 자세히 들여다보니, 국가번호가 이상합니다. +82로 시작하는 우리나라 번호가 아니라 +372로 시작하네요. 문자에도 [국외발신] 이라고 적혀있고요. 충분히 의심해 볼만한 문자입니다.
사실 뭘 신청하지도 않았는데 발급되었다, 뭘 구입하지도 않았는데 결제되었다고 오는 문자는 거의 모두 스미싱, 즉 사기 문자입니다. 하나카드뿐 아니라, 다른 카드도 마찬가지이고요.
그래도 혹시…? 하고 불안한 마음에 함께 찍혀있는 전화번호로 전화를 건다거나, 링크된 주소를 누르면 절대 안 됩니다. 까딱하다 현란한 말발에 넘어가든지, 아니면 이상한 앱이 설치되는 수도 있거든요.
1. 스미싱
이렇게 문자를 이용한 사기를 스미싱(smishing)이라고 합니다. 문자(SMS)에 개인정보(Private Data)와 낚시( Fishing)를 합쳐 만든 피싱(Pishing)을 더해 만든 말입니다.
SMS + Phishing(=Private Data + Fishing) = Smishing
카드발급, 카드 결제 확인처럼 위기감을 조성하는 방법 외에도 건강보험 환급금, 연금이나 이벤트 당첨, 연말정산같이 기대심리를 자극하는 문자도 있다. 코로나가 한창일 때는 재난지원금을 주제로 한 문자가 기승을 부리기도 했죠. 2025년 하반기에는 민생지원금 관련 스미싱 문자가 판을 쳤습니다(2025. 8. 추가)
가. 스미싱과 피싱, 뭐가 다를까요?
스미싱과 피싱은 어떤 점이 다를까? 피싱이 주로 컴퓨터를 이용했다면, 스미싱은 스마트폰을 이용한다는 점이 가장 큰 차이입니다.
사기꾼들은 사람들을 낚기 위해 은행 같은 유명한 회사나 국가기관을 사칭해왔습니다. 또 사기꾼들은 널리 쓰이는 편리한 도구를 즐겨 사용합니다. 전화를 이용하다(보이스 피싱) 컴퓨터도 이용하고(피싱), 이제는 스마트폰까지 사용합니다. 스마트폰은 우리가 쓰기에도 편리하지만, 전화, 메신저, 메일이 모두 가능해 사기꾼이 활용하기에도 딱 좋은 도구입니다.
나. 스미싱 피해, 알고 대처해야 막을 수 있습니다
이렇게 문자나 전화만 받았을 때는 별문제 없이 지나가는 경우가 많습니다. 하지만 통화하거나 링크를 눌렀을 때는 여러 가지 피해가 발생할 수 있습니다.
1) 개인정보 도용
피싱 당한 사람의 이름과 정보를 훔쳐 휴대전화를 개통하거나, 다른 범죄를 위한 대포폰으로 사용할 수 있습니다.
2) 금융 범죄에 사용
개인정보를 이용해 카드 이용 및 발급, 계좌 개설, 대출 등의 범죄를 저지를 수 있습니다. 새로 개설한 계좌는 대출받은 돈이 잠시 거쳐 가는 곳이 되기도 하죠.
또 연락처 데이터를 입수한 다음 피싱 당한 사람으로 위장해 지인에게 돈을 요구하는 카톡이나 메시지를 보내기도 합니다. 조금이라도 피해를 예방하기 위해선 연락처에 어떤 관계인지 명시해 저장하지 않는 것이 좋습니다. ’00 이모’, ‘아빠’등으로 저장해 놓으면, 피싱범들이 친근하게 피싱 문자를 보낼 수 있도록 돕는 셈이 되니까요. ‘고모, 저 00이에요. 엄마 아빠 몰래 콘서트 표 예매하게 20만원만 보내주세요’하는 문자를 받고 돈을 보낸 지인도 있었습니다.
3) 악성 앱 설치
확인되지 않은 링크 주소를 누르면 안 됩니다. 악성 앱이 설치되고 이 앱을 통해 금융 및 각종 정보가 탈취되거나 모르는 사이 꾸준히 소액결제가 일어날 수도 있습니다.
4) 가짜 사이트로 연결
이미 만들어둔 가짜 국세청, 경찰청, 은행 홈페이지로 연결되는 주소일 수도 있다. 이런 가짜 사이트를 진짜로 착각하게 만들어 스스로 개인정보를 입력하도록 유도합니다.
2. 스미싱을 구별하는 5가지 특징
제가 받은 하나카드 스미싱 같은 이런 수상한 문자는 몇 가지 특징을 가지고 있습니다. 다음 특징들을 미리 알아두면 피해를 막는 데 큰 도움이 됩니다.
가. [국외 발신] 표시
가장 큰 특징은 문자 맨 앞에 국외 발신이라고 적혀있다는 점입니다. 어째서 그럴까요? 사기꾼들은 국내에서 활동하다가는 금방 잡히기 때문에 해외 전화번호를 이용합니다. 번호가 +82가 아닌 다른 국가번호로 시작한다면 의심해야 합니다.
글 맨 위에 있는 제가 받은 하나카드 스미싱 문자 이미지를 보면, 문자 맨 앞에 떡하니 ‘[국외발신]’이라고 적혀있습니다. 발신 전화번호도 ‘+372’로 시작하고요. 우리나라 안에서 보냈다면 1588-**88처럼 번호만 나오든지, 아니면 +82로 시작하겠죠. 372는 에스토니아의 국제전화 국가번호입니다. 건강보험관리공단이라며 인도네시아(+62)에서 문자를 보내기도 합니다.
나. 개인정보, 금융 정보 요구
요즘은 피싱 문자도 많이 정교해져서, 처음부터 어떤 정보를 요구하는 문자를 보내지는 않습니다. 하지만 만약 이런 정보를 요구한다면 100% 스미싱 문자입니다. 정부, 공공기관, 금융기관은 전화나 문자를 통해 개인정보, 금융 정보를 절대 요구하지 않습니다.
다. 급하게 만드는 문구
”조기 마감”, ”빠른 신청”, ”예산 한정”, ”선착순” 같은 말을 사용해 문자 받은 사람의 마음을 조급하게 만듭니다.
라. 틀린 전화번호
사진을 보면 문의할 전화번호를 안내하고 있습니다. 이 번호가 맞는 번호일까요? 그렇지 않습니다. 하나카드 고객센터 전화번호는 1800-1111입니다. 의심스러워서, 또는 궁금해서 문의하고 싶다면, 문자에 적힌 번호가 아닌, 직접 검색해서 찾은 공식 고객센터 번호로 전화해야 한다.
은행이나 카드사에서 하는 이벤트를 맡은 대행사에서 문자를 보내기도 합니다. 이런 문자는 은행 고객센터가 아닌 대행사 전화번호로 오게 됩니다. 이런 문자를 받았을 땐 일단 다른 나라에서 온 문자인지 확인한 다음, 안내된 전화번호가 발신자의 전화번호와 똑같은지 살펴봅니다. 더콜처럼 스팸 전화번호를 확인하는 사이트나 인터넷 검색을 해보는 것도 좋습니다.
한 예로, 얼마 전 국민카드사로부터 파리바게뜨 5천 원 할인 혜택을 즉시 받으라는 문자를 받은 적이 있습니다. 더콜에선 ‘쿠프마케팅 고객센터’라는 업체 이름을 확인할 수 있었고, 구글 검색에선 국민카드 이벤트 업체라는 것이 명시된 국민카드 홈페이지 주소를 얻을 수 있었다.
마. 짧은 주소 링크
공공기관은 가급적 링크를 포함하지 않고 문자를 보냅니다. 부득이한 때엔 공식 사이트 주소 전체를 줄이지 않고 다 보내는 것이 원칙입니다. 반면, 관공서를 사칭하는 문자는 가짜 사이트나 앱으로 연결되는 주소를 숨기기 위해 짧은 주소를 만들어 보냅니다.
3. 대처 방법
일단 전화나 문자가 오면 번호를 확인해 봅니다. 국외발신이라면 묻지도 따지지도 말고 끊고 차단한 다음 삭제해 버리는 게 좋습니다. 우리나라 번호라면 더콜 같은 스팸 전화번호 확인 사이트에서 확인해 봅니다. 안전한 번호인지 아니면 스팸 번호인지 알 수 있습니다.
그런데 혹시라도 링크를 눌렀다거나 전화 통화를 해서 피싱, 스미싱 피해를 당한 것 같다면 다음을 참고해 침착하게 대응해 피해를 최소화해야 합니다.
가. 엠세이퍼 – 명의도용 휴대전화 개설 여부 조회
https://msafer.or.kr에 접속해 내 명의로 휴대전화가 개통됐는지 확인하고 제한할 수 있습니다. 명의도용 휴대전화 가입 여부를 조회하려면 가입사실현황조회서비스, 미리 막으려면 가입제한서비스를 선택합니다.
나. 계좌정보 통합관리 시스템 – 금융 범죄
https://www.payinfo.or.kr에서 내 명의로 된 신규 계좌개설(계좌통합조회), 대출 여부 확인(대출 정보조회), 카드 정보조회 등을 할 수 있습니다.
다. e프라이버시 클린 서비스 – 웹사이트 회원가입 조회 및 탈퇴
https://eprivacy.go.kr에서 내 정보를 도용해 가입된 웹사이트를 조회하고 탈퇴할 수 있습니다.
라. 악성 앱 탐지 프로그램 설치
안드로이드 폰을 사용하고 있다면 안랩 V3 모바일 시큐리티, McAfee Mobile Security 같은 탐지 앱을 설치해 스마트폰을 검사합니다. 악성 앱이 발견되면 삭제해야 합니다.
아이폰은 오픈소스 기반인 안드로이드 폰에 비해 악성 앱 설치가 어렵습니다. 대신 네이버나 애플 아이디로 로그인하라며 가짜 사이트로 유인해 아이디와 비밀번호 정보를 얻어냅니다. 만약 그렇게 되더라도 쉽게 내 계정에 접근할 수 없도록 미리 2단계 인증 설정을 해두는 것이 좋습니다.
스미싱 피해 예방을 위한 하루페이퍼의 제안
사기 수법은 계속 진화하고 있지만, 몇 가지 습관만으로도 피해를 효과적으로 막을 수 있습니다.
가. 모르는 번호는 받지 않고 차단하기
평소 아는 사람이나 기관의 전화번호는 모두 저장해두고, 모르는 번호는 스팸 알림 앱(후후 등)을 활용해 확인하고 차단하세요.
나. ‘국외 발신’ 문자 바로 삭제하기
의심스러운 문자는 절대 누르지 말고 바로 삭제하세요. 특히 ‘[국외 발신]’ 표시가 있다면 묻지도 따지지도 말고 삭제하는 것이 가장 안전합니다.
다. 정기적으로 내 정보 확인하기
위에 소개한 엠세이퍼나 계좌정보 통합관리 시스템을 활용해 내 명의로 개설된 금융 상품이나 휴대전화가 없는지 정기적으로 확인하는 습관을 들이세요.
스미싱을 예방하는 가장 확실한 방법은 정보를 클릭하기 전, 한 번 더 의심하는 것입니다. 위에 안내된 내용을 숙지해 안전한 디지털 생활을 이어가시기 바랍니다.
참고할 만한 페이지
- 멀웨어 또는 안전하지 않은 소프트웨어 삭제하기(구글)
- 스마트폰을 악성코드로부터 보호하는 방법(2025) (삼성전자 서비스)
함께 읽으면 좋은 글
- 국민건강보험 환급금 가짜 사기문자 주의!
- 건강보험 본인부담금 환급금 지급신청
- 등기부등본 확인했는데도 사기?! 권원보험(부동산 권리보험)이 꼭 필요한 이유
- VPN으로 안전하게 공용 와이파이 이용하기
파트너스 활동으로 소정의 수수료를 제공받을 수 있습니다.
