숙소 예약 뒤 “카드 확인이 안 됐다”, “예약 취소를 막으려면 다시 인증하라”는 문자를 받으면 먼저 멈추는 편이 안전하다. 한국인터넷진흥원(KISA)은 2026년 5월 12일 여행 예약 플랫폼 해킹으로 유출된 숙박 예약정보를 악용한 스미싱 주의 권고를 냈다.
이 유형은 예약자 이름, 숙박일, 호텔명이 맞을 수 있어 더 헷갈린다. 정보가 맞는지보다, 문자 안의 링크와 결제 요구가 공식 절차인지부터 확인해야 한다.

예약 정보가 맞아도 바로 누르지 않는다
KISA는 유출된 숙박 예약정보를 활용해 호텔 관리자를 사칭하고, 결제 문제나 예약 취소 방지를 이유로 재확인을 요구하는 사례를 안내했다. 공식 사이트와 비슷한 피싱 URL로 카드 정보를 입력하게 만드는 방식이다.
짧은 URL, 메신저 대화방 이동, 카드번호·CVC·본인확인 인증번호 입력 요구, 원격제어 앱 설치 안내가 같이 오면 중단한다. 호텔이 급히 처리하라고 재촉하더라도 문자에 적힌 번호로 바로 전화하지 않는다.
확인은 공식 앱과 카드사 앱에서 한다
문자 속 링크 대신 예약 앱을 직접 열거나 브라우저 주소창에 공식 주소를 직접 입력한다. 예약 상세 화면, 플랫폼 고객센터 채팅, 호텔 공식 홈페이지 연락처를 서로 대조한다. 결제 여부는 카드사 앱 승인 내역과 알림 기록에서 확인한다.
해외 숙소라면 플랫폼 밖 결제 요청인지 약관도 함께 본다. 가족 여행처럼 여러 명이 같은 예약 문자를 받을 수 있다면 한 사람이 공식 앱에서 상태를 확인한 뒤 결과를 공유하는 방식이 낫다.

휴대폰 설정에서 막아 둘 것
갤럭시 사용자는 설정의 보안 및 개인정보 보호 메뉴에서 출처를 알 수 없는 앱 설치가 허용돼 있지 않은지 확인한다. 아이폰 사용자는 메시지의 알 수 없는 발신자 필터, Safari의 보안 관련 설정, 개인정보 보호 및 보안 메뉴를 점검한다.
이미 링크를 눌렀더라도 앱 설치나 결제 정보 입력 전이면 창을 닫고 문자 원문을 보관한다. 링크 클릭만으로 악성 앱에 감염되는 것은 아니지만, 앱을 설치했다면 모바일 백신 검사와 삭제가 필요하다.
정보를 입력했다면 카드부터 잠근다
카드번호나 인증 정보를 입력했다면 카드사 앱에서 결제 잠금, 해외결제 차단, 재발급을 먼저 처리한다. 악성 앱을 설치한 의심이 있으면 비행기 모드로 바꾸고, 다른 사람 휴대전화로 112 또는 118에 상담한다.
통신사 소액결제 내역도 확인한다. 피해가 의심되면 문자 캡처, URL, 결제 화면, 통화 시간을 지우지 말고 보관한다. 번호가 도용돼 지인에게 비슷한 문자가 발송될 수 있으므로 통신사의 번호도용문자차단서비스도 신청한다.
신고와 확인 경로
| 상황 | 먼저 할 일 | 확인 경로 |
|---|---|---|
| 의심 문자 수신 | 링크를 누르지 않고 원문 보관 | 보호나라 스미싱·피싱 확인서비스 |
| 카드 정보 입력 | 카드 잠금·재발급·해외결제 차단 | 카드사 앱 또는 고객센터 |
| 악성 앱 설치 의심 | 비행기 모드, 다른 전화로 신고 | 112, 118, 휴대폰 서비스센터 |
| 소액결제 피해 | 통신사 결제 내역 확인 | 통신사 고객센터, 경찰 신고 |
FAQ
예약자 이름이 맞으면 믿어도 되나?
아니다. 이번 권고는 유출된 숙박 예약정보가 사칭 문자에 쓰일 수 있다는 점을 전제로 한다.
링크만 눌러도 감염되나?
KISA 안내 기준으로는 URL 클릭만으로 악성 앱에 감염되는 것은 아니다. 다만 앱을 설치했거나 정보를 입력했다면 즉시 점검해야 한다.
예약이 취소될까 걱정된다면?
문자 링크가 아니라 예약 앱, 호텔 공식 홈페이지, 카드사 앱에서 확인한다. 정상 요청이라면 공식 채널에도 같은 안내가 남아 있어야 한다.
