- .

(서울=NSP통신 강은태 기자) = 금감원이 특정인의 정보를 캐내기 위한 피싱 공격을 지칭하는 용어로 작살 낚시를 빗댄 표현인 스피어피싱(Spear-phishing)범죄에 각별한 주의가 필요하다고 당부했다.

금융감독원(이하 금감원)은 최근 이메일을 이용, 무역활동을 하는 중소기업 대상으로 스피어피싱 범죄가 잇따르고 있어 각별한 주의가 요망된다고 밝혔다.

이번 스피어피싱 범죄는 불특정 다수인의 개인정보를 빼내는 기존 피싱(Phishing)과 달리 특정인(기업)을 공격 목표로 삼는게 특징이며 주요 유형으로 공격 목표(중소기업 등)가 사용하는 ▲이메일 해킹 ▲악성코드(Malware)를 첨부한 이메일 전송 등이 있다.

특히, 스피어피싱 사기범은 국내수출업자나 수입업자가 사용하는 이메일 해킹을 통해 계정정보 탈취 등의 수법을 주로 사용해 이메일 상의 거래내역 등을 파악한 후 사기계좌(주로 해외계좌)로 송금을 요청하는 가짜 이메일을 송부한다.

◆ 이메일 해킹 등을 통한 무역대금 사기사례

인천에서 목재를 수입 판매하는 A사는 평소 홍콩소재 수출업체(B사)와 수입대금 송금을 위한 이메일을 수차례 주고받았으며, 지난 9월 27일 B사의 사정상 C사 명의로 개설된 계좌로 대금을 수취해야 한다는 이메일을 수신했다.

평소 대금결제 관련 정보를 이메일로 여러 차례 주고받은 관계로 이메일 내용을 의심하지 않은 A사는 USD 2만 5109를 이메일에 표시된 홍콩소재 해외은행 계좌로 송금한다.

하지만 수일이 지난 후 수출대금을 받지 못한 B사에서 대금결제 요청이 와 A사는 이미 송금했음을 설명하였으나, B사는 C사 명의계좌로 송금지시를 내린 적이 없다고 함에 따라 A사는 이메일 해킹에 의한 무역대금 사기피해 인지하고 즉시 송금은행에 자금반환을 요청하나 자금출금 등을 사유로 거절된다.

서울에서 모피를 수입 판매하는 D사는 인도소재 거래처(E사)와 수차례 거래한 이력이 있었으며, 지난 7월경 거래계좌를 변경한다는 이메일을 수신한다.

이를 의심하지 않은 피해자는 이메일에 표시된 영국소재 해외계좌로 USD 9000를 송금했다.

송금 이후 D사는 물품이 도착하지 않자 E사로 전화를 걸어 문의한 결과 송금이 되지 않았음을 확인하면서 이메일 해킹에 의한 무역대금 사기피해를 인지하고 즉시 송금은행에 자금반환을 요청하나 자금출금 등을 사유로 거절된다.

현재 금감원은 스피어피싱은 사기수법의 특성상 거래이력이 있는 기업이나 지인을 가장해 송금 등을 요청하므로 전화, Fax 등을 통해 거래의 진실성을 파악하기 전에는 범죄여부를 파악하기가 곤란할 뿐만 아니라, 피해인지시점이 늦기 때문에 피해금 회수는 사실상 불가능하다고 밝혔다.

한편, 금감원은 스피어피싱 범죄를 예방하기 위해서는 거래당사자간 결제관련 주요정보는 전화나 Fax로 확인할 것과 국내수출업자는 사전에 입금계좌번호, 예금자명 등 거래대금 결제와 관련한 주요정보를 전화나 Fax로 재확인토록 하고 특히, 해외수출업자로부터 입금계좌 변경내용이 포함된 이메일 수신 시 전화나 Fax 등의 방법으로 이메일 진위여부를 반드시 확인하는 것이 중요하다고 당부했다.

또한 사기범은 사이버 범죄에 대한 처벌이 쉽지 않은 국가(나이지리아, 필리핀 등)에서 사기메일을 주로 발송하기 때문에 이메일의 비밀번호는 수시로 변경하고, 해외IP의 로그인(log-in)차단 기능을 설정해 이에 대한 대비를 철저히 할 필요가 있다고 밝혔다.

keepwatch@nspna.com, 강은태 기자(NSP통신)
<저작권자ⓒ 한국의 경제뉴스통신사 NSP통신. 무단전재-재배포 금지.>