▲ [사진=뉴스투데이DB]

계좌정보 빼내 송금유도‥ 대금결제 등 주요업무는 담당자에 직접 진위 확인해야

(뉴스투데이=오지은 기자) # 서울에서 모피를 수입 판매하는 D사는 인도 소재 거래처 E사와 무역 거래를 하고 있었다. E사는 지난 2월 거래 계좌를 변경한다는 이메일을 보냈고, 이미 수차례 거래한 이력이 있던 D사는 의심하지 않고 이메일에 표시된 영국 소재 해외계좌로 USD 9000를 송금했다.

송금 이후 D사는 물품이 도착하지 않아 E사로 전화를 걸어 문의한 결과, “송금이 되지 않았다”는 대답을 받았다. 사기임을 깨달은 D사 피해자는 송금 은행에 반환 요청을 했지만 자금 출금 등을 사유로 거절당했다.

이처럼 최근 이메일을 이용해 무역활동을 하는 중소기업을 대상으로 ‘스피어피싱’ 범죄가 잇따르고 있다. 스피어피싱은 특정인의 정보를 캐내기 위한 피싱 공격을 말하며, ‘작살낚시(spearfishing)’를 빗댄 표현이다. 주로 이메일 해킹을 통해 계정정보를 빼내 해외송금을 유도하고 있다.

특히 스피어피싱은 거래이력이 있는 기업이나 지인을 사칭해 송금 등을 요청하므로 전화, 팩스 등을 통해 진위를 확인하기 전까지는 범죄 여부를 파악하기 어렵고, 피해 인지 시점이 늦어 D사처럼 피해금 회수는 사실상 불가능하다.

이에 은행권 전자금융사기 담당자는 스피어피싱 예방법과 대처법에 대해 “거래당사자간 거래대금 결제와 관련한 주요 정보는 전화나 팩스로 당사자를 파악해야 하며, 특히 입금계좌 변경내용이 포함된 이메일을 받았다면 진위 여부를 반드시 확인해야 한다”고 조언했다.

또한, 이 담당자는 “업무에 이용하는 이메일의 비밀번호는 수시로 변경하는 등 보안관리를 철저히 해 해킹에 대비하는 것이 좋다”며 “사기범은 사이버 범죄에 대한 처벌이 쉽지 않은 국가(나이지리아, 필리핀 등)에서 사기메일을 주로 발송하는 것으로 드러나 해외IP의 로그인차단 기능을 설정해 이에 대한 대비를 철저히 할 필요가 있다”고 말했다.

뿐만 아니라 “PC와 스마트폰 백신 등 보안프로그램을 늘 최신버전으로 유지·업데이트하고, 악성코드 검사 및 제거를 주기적으로 실시하라”고 당부했다.

이미 스피어피싱을 당했다고 인지한 시점에는 즉시 지급 정지 및 경찰 신고 등 후속조치를 빠르게 진행해야 한다.

그는 “피해 사실을 인지한 즉시 계약서, 송금내역서 등의 입증서류를 구비해 경찰청 사이버테러대응센터에 신고하고, 금융감독원 불법사금융피해신고센터 또는 각 금융기관 고객센터를 통해 ‘지급정지’를 요청해야 한다”고 강조했다.