[4편]에서 “신청하지 않은 카드 발급” 피싱을 다뤘다면,
이번 글에서는 더 교묘한 2가지 패턴을 정리했습니다.
1. 내가 정말 카드를 신청했을 때 – 그 타이밍을 노리는 피싱
2. 연체·해외결제·혜택 안내 사칭 – 이미 쓰는 카드를 노리는 피싱
이 두 가지는 익숙한 상황이라 방심하기 쉽습니다.
대응 원칙은 [4편]과 동일하지만,
어느 지점에서 속는지를 알아두면 예방에 도움이 됩니다.
1. 내가 정말 카드를 신청했을 때 – 왜 실제 신청 타이밍이 더 위험한가
“어제 ○○카드 신청했는데, 오늘 ‘배송 안내’ 문자가 딱 왔네?”
신청하지 않은 카드로 오는 피싱은 의심하기 쉽지만,
내가 정말 신청한 카드에 대한 연락은 생각 없이 링크부터 누르게 됩니다.
요즘 피싱 조직은 실제 카드 신청 타이밍을 정교하게 노립니다.
• 카드 신청 시 입력한 정보가 여러 경로(광고·제휴·유출 사고 등)를 통해 외부로 새어나갈 수 있음
• 피싱 조직은 이렇게 유출·수집된 정보를 이용해 ‘최근 카드 신청자’ 타이밍을 노리고 연락하기도 함
• 신청 후 24~72시간 안에 집중 공격
실제 신청 vs 피싱 문자 – 구분법
진짜 카드사 배송 안내
• 카드사 앱 알림함에 먼저 뜸(푸시 알림)
• 문자에 송장번호 포함
• 링크는 카드사 공식 도메인(예: card.company.co.kr)
• ‘긴급’, ‘명의도용’ 같은 공포 문구 없음
피싱 문자
• 앱 알림은 없고 문자만 옴
• 송장번호 없거나 가짜
• 링크가 단축 URL(bit.ly 등) 또는 이상한 도메인
• ‘지금 확인 안 하면 발급 취소’ 등 조급하게 만듦
내가 신청한 카드라도 – 이렇게 확인하세요
1. 문자·전화보다 앱 먼저 확인
문자가 왔다면,
링크 누르지 말고 먼저 카드사 앱을 직접 열어서
같은 안내가 있는지 확인하세요.
앱 알림함에 같은 안내가 있으면 → 그쪽에서만 진행
없다면? → 문자는 피싱으로 간주
2. ‘카드 신청·발급·배송 관련은 앱에서만’ 원칙
“문자·전화 안에서 끝내지 않고,
무조건 카드사 앱이나 본사 대표번호에서만 처리한다.”
3. 문자 속 링크·번호는 절대 사용 금지
문자에 적힌 링크나 전화번호는 절대 누르지 말고,
카드 뒷면·공식 홈페이지 대표번호로 직접 전화하세요.
실제 사례 – 신청 다음 날 ‘배송 안내’ 피싱
A씨는 월요일에 ○○카드를 온라인 신청했습니다.
화요일 오전, “카드 배송 중, 송장 확인” 문자가 왔습니다.
“어제 신청했으니까 맞네” 생각하고 링크를 눌렀습니다.
→ 가짜 카드사 사이트로 연결
→ 카드번호·CVC·인증번호 입력
→ 30분 뒤 기존 카드로 100만 원 결제 시도
함정: 실제 카드는 아직 제작 중이었고, 진짜 배송 안내는 목요일에 왔습니다.
올바른 대응: 링크 누르지 말고 카드사 앱 먼저 확인
→ 앱에 배송 알림 없으면 정상 문자일 가능성은 매우 낮습니다.
거의 피싱이라고 보고 대응하는 게 안전합니다.
2: 연체·해외결제·혜택 안내까지 – 2차 카드 피싱 패턴
발급 외에 자주 사칭하는 3가지 유형
카드 발급·배송 피싱은 이제 많이 알려졌지만,
이미 쓰고 있는 카드의 각종 알림도 피싱에 자주 이용됩니다.
유형 1: 연체·연회비 사칭
문자 예시
[○○카드] 연체금 128,400원이 발생했습니다.
즉시 납부하지 않을 시 연체 이자 및 법적 조치가 진행될 수 있습니다.
납부 바로가기 https://bit.ly/3xX…
의도: 공포 심리
‘법적 조치’라는 말에 놀라 즉시 링크를 누르게 만듦
함정:
• 링크 누르면 가짜 카드사 사이트로 연결
• ‘납부 확인’ 명목으로 카드번호·비밀번호·CVC 요구
• 실제로는 그 정보로 결제 시도
유형 2: 한도 상향·VIP 혜택 사칭
문자 예시
[○○카드] 고객님은 한도 상향 및 VIP 혜택 대상자입니다.
본인 확인 후 혜택을 신청해주세요.
신청하기 https://bit.ly/4yY…
의도: 욕심 자극
‘나만 받는 특별 혜택’이라는 생각에 클릭하게 만듦
함정:
• 본인 확인 명목으로 카드 정보 전체 요구
• 혜택은 없고 정보만 탈취
유형 3: 해외 승인·이상 거래 사칭
문자 예시
[○○카드] 해외 가맹점에서 387,000원 결제가 시도되었습니다.
본인 거래가 아니면 링크 접속 후 즉시 승인 취소 바랍니다.
확인하기 https://bit.ly/5zZ…
의도: 긴급 대응 유도
“내 카드가 도용됐나?” 불안해서 즉시 확인하게 만듦
함정:
• 승인 취소 명목으로 카드 정보 입력 요구
• 실제로는 진짜 결제 승인을 완료시키는 구조
진짜인지 확인하는 3단계
1단계: 카드사 공식 앱 알림부터 보기
문자를 받았다면,
링크 누르지 말고 먼저 카드사 앱을 직접 열어서
같은 알림이 있는지 확인하세요.
정말 연체·해외승인이면 앱에서도 동일한 알림이 뜹니다.
2단계: 카드 뒷면·공식 홈페이지 대표번호로 전화
문자 속 번호 말고,
카드 뒷면 / 공식 홈페이지의 대표번호로 다시 겁니다.
“이런 문자 받았는데 실제로 연체/승인 시도가 있었나요?”
이렇게만 물어보면 됩니다.
3단계: 문자 안에서 바로 카드 정보 입력 금지
‘연체금 납부’라면서 카드번호·계좌비밀번호를 받으려 하면 거의 다 피싱입니다.
진짜 납부가 필요하다면
카드사 앱/홈페이지 ‘납부·결제’ 메뉴 안에서만 처리하세요.
실제 사례 – 연체 사칭 피싱
C씨는 평소 카드 대금을 자동이체로 납부하고 있었습니다.
어느 날 “연체금 85,000원 발생, 즉시 납부” 문자가 왔습니다.
‘자동이체인데 연체라니?’ 의아했지만
‘혹시 계좌 잔액이 부족했나?’ 불안해서 링크를 눌렀습니다.
→ 가짜 카드사 사이트로 연결
→ “납부 확인” 명목으로 카드 전체 정보 입력
→ 1시간 뒤 해외 사이트에서 200만 원 결제 시도
올바른 대응:
링크 누르지 말고 카드사 앱 먼저 확인
→ 앱에 연체 알림 없으면 100% 피싱
“이 문자 믿어도 될까?” 5가지 체크 질문
문자를 받았을 때, 링크 누르기 전에 딱 이것만 확인하세요.
1. 카드사 앱·홈페이지에서도 같은 안내가 있는가?
→ 문자만 있고 앱은 조용하면 의심
2. 요구하는 정보가 너무 많지 않은가?
(카드번호 + 유효기간 + CVC + 비밀번호 + 인증번호 풀세트)
→ 진짜 카드사는 이미 내 정보를 갖고 있어서 전체를 다시 물어볼 이유 없음
3. ‘지금 바로 안 하면 ○○’ 식으로 과하게 겁을 주는가?
(발급 취소, 연체 이자, 법적 조치 등)
→ 공포 + 조급함 = 사기범의 기본 전술
4. 링크가 단축 URL이거나 이상한 도메인인가?
→ 진짜는 card.company.co.kr 같은 공식 도메인
5. 문자 안 링크 말고도, 앱·홈페이지에서 똑같은 일을 처리할 수 있지 않은가?
→ 있다면, 그쪽이 정답입니다. 문자 안에서 끝내지 마세요.
함께 보면 좋은 글
[4편] 우체국 택배 사칭 카드 발급 피싱 – 전화오면 무조건 끊어야 하는 이유
→ 신청 안 한 카드 피싱 기본 대응법
[3편] 우편·택배·법원 등기 피싱 완전 정리 – 배송·등기 문자 링크, 눌러도 될까?
→ 배송·등기 문자 링크 대응법
[2편] 통장에서 돈이 빠져나갔을 때 – 0~24시간 생존 타임라인
→ 이미 피해 발생 시 즉시 조치
[1편] 피싱·사기 수법 정리 2026 – “이 패턴이면 99% 피싱입니다”
→ 전체 피싱 패턴 지도
참고 및 한계
이 글은 실제 사례와 공공기관 안내를 바탕으로 한 일반적인 정보 제공용 가이드이며,
개별 사건에 대한 법률 자문이나 금융기관의 공식 입장을 대신하지 않습니다.
자세한 내용은 THRILLER LAB의
[이용 안내 및 면책 고지] 페이지를 참고해 주세요.
최종 수정: 2026년 4월 9일
작성: 20년 경력 TV 구성작가 · THRILLER LAB