연말 쇼핑과 배송 추적 수요가 증가하면서 공격자들은 AI·사이버 범죄 키트를 활용한 정교한 사기 전술을 대규모로 전개하고 있다. 소비자는 블랙프라이데이, 크리스마스, 새해 시즌 동안 수많은 할인 정보와 배송 알림을 확인하게 되는데, 이 시점을 악용해 피싱·스미싱·가짜 쇼핑몰·가짜 배송알림 등이 폭증하고 있다.

AI 기반 사이버 보안 기업 볼스터 AI(Bolster AI)는 브랜드 사칭·가짜 챗봇·다중 채널 광고 등 AI 기반 사기 수법이 기존보다 훨씬 정교해졌다고 분석하며, 소비자 대상 피해 위험이 크게 확대되었다고 경고했다.

볼스터 AI는 지난 12개월간  시스널(Signals )기술로 분석한 피싱·사기 인텔리전스를 기반으로, 2025년 연말 시즌에 소비자가 가장 주의해야 할 7대 사기 유형을 공개했다. 추수감사절 피싱은 118%, 블랙프라이데이에는 229%, 크리스마스 전후 14% 증가했으며, 전체 피싱 활동은 전년 대비 128% 급증했다. 특히 배송 사칭, 가짜 온라인 매장, 스미싱, QR 코드 사기, 기프트 카드 사기, 가짜 자선 모금, 계절 일자리 사기 등이 급증한 것으로 나타났다.

2025년 연휴 시즌에 급증한 7대 사기 유형

①배송 알림 사기 – UPS·ㅍFedEx·USPS·아마존 사칭

공격자는 “배송 누락”, “세관 수수료” 등의 메시지를 발송해 결제 정보와 계정 로그인 기록을 탈취한다. 볼스터 데이터에 따르면 배송 사칭 공격은 2025년 11월 기준 전년 대비 105.8% 급증했다.

② 프리미엄 브랜드 60~90% 할인 가짜 온라인 매장

유료 소셜 광고와 검색 결과에 노출되는 가짜 쇼핑몰은 진짜처럼 보이도록 제작되며, 실존 브랜드와 동일한 시각 요소로 소비자를 속인다. 목적은 신용카드 정보 탈취 또는 미배송 사기다.

③스미싱(SMS 피싱) – 가장 지배적인 공격 경로

배송 추적 번호, 결제 요청 메시지 등 짧고 긴급한 문구가 포함된 스미싱은 이메일보다 전환율이 높다. 2025년 11월까지 스미싱 공격은 122% 증가할 것으로 예측되었다.

④QR 코드 기반 피싱

포스터, 우편물, 랜딩 페이지 이미지에 악성 QR 코드를 삽입해 모바일 기기를 피싱 사이트로 유도한다. QR은 URL 필터를 우회하기 때문에 탐지 회피가 용이하다.

⑤기프트 카드 사기 – 관리자 사칭형 사기 급증

소비자에게는 “휴가 보너스 신청”, 직원에게는 “고객 선물용 긴급 기프트 카드 구매” 등을 요구한다. 2025년 11월 기준 14.5% 증가했다.

⑥가짜 자선 모금 사기

감정적 스토리와 모금 캠페인을 악용해 기부금을 편취한다. 2025년 11월 기준 전년 대비 38% 증가할 것으로 전망되었다.

⑦계절별 일자리 사기

즉시 채용을 제안한 뒤 사회보장번호·은행 계좌·“선불 교육비” 등을 요구한다. 연말 단기 고용 증가 시기에 맞춰 피해가 확대된다.

사기를 막는 소비자·기업용 실시간 대응 전략

볼스터 AI는 소비자가 연휴 시즌 사기 피하기 위한 다음 5가지 실천을 제시했다.

클릭 전 확인: 배송 알림은 반드시 공식 앱·사이트에서 운송장 번호 확인.

과도한 할인 경계: 70~90% 할인은 대부분 사기.

QR 코드 URL 확인: 스캔 전 URL 미리보기 필수.

기프트 카드 결제 금지: 합법적 조직은 기프트 카드 요구하지 않음.

URL 철저 확인: 유사 도메인, 오타 도메인 주의.

볼스터 AI는 기업 보호를 위해서는 ▲브랜드명 + “매장/세일/딜/배송” 조합의 신규 등록 도메인 모니터링 ▲공식 판매 URL 및 공식 커뮤니케이션 채널 사전 공지 ▲등록기관·호스팅사·소셜 플랫폼과의 신속 삭제 파트너십 구축 등의 조치를 권고했다.

국내 소비자도 동일 유형의 연말 사기 급증

국내 역시 연말 쇼핑 수요 증가와 함께 스미싱·가짜 배송 알림·가짜 쇼핑몰 피해가 지속적으로 보고되고 있다. 국내 주요 택배사를 사칭한 스미싱 문자, 포털 검색광고에 노출되는 가짜 할인몰, 카카오톡 오픈채팅 기반의 가짜 자선 모금 등이 매년 반복되며 금융감독원과 한국인터넷진흥원은 연말 시즌 특별주의보를 발령하고 있다.

최근에는 QR 코드 기반 피싱 사례가 늘어 공공기관 안내문과 포스터에 악성 QR을 부착하는 방식까지 등장해 국내 모바일 사용자들도 높은 경각심이 필요한 상황이다.

볼스터 AI는 연말 연시가 소비자와 기업 모두에게 가장 취약한 시즌 중 하나라고 강조했다. 공격자는 AI 도구·다크웹 키트·가짜 챗봇을 활용해 브랜드의 외형과 사용자 경험을 정밀하게 모방하며 피해 규모는 계속 증가하고 있다.

볼스터 AI의 CEO 로드 슐츠(Rod Schultz)는 “조금이라도 이상하거나 너무 좋아 보이면 의심해야 한다.”고 경고했다. 연휴 특수 기간은 공격자에게도 최대의 기회가 되는 만큼, 소비자와 브랜드 모두 사기 탐지·도메인 모니터링·공식 채널 고지 등 기본 보안을 강화해야 할 시점이다.