끊이지 않는 ‘스피어 피싱’ 무역 사기... 피해자 지원책은 제자리 걸음

클릭하시면 더 큰이미지를 보실 수 있습니다 게티이미지뱅크

경기 성남시 판교테크노밸리에서 중소기업을 운영하는 이순열 오투인터내셔널 대표는 최근 한 달 동안 ‘불면의 밤’을 버티고 있다. 악성 해킹 피해를 입어 해외로 잘못 송금한 무역 대금을 날릴 위기에 처했으나, 주거래 은행 등의 신속한 지원을 받지 못한 채 속절없이 시간만 흘려보내고 있는 까닭이다.

21일 이 대표에 따르면, 악몽이 시작된 건 지난달 22일. 10년 넘게 관계를 이어온 미국 거래처에 물품 대금 1만6600여 달러를 송금하면서부터다. 계좌번호가 바뀌었다며 새 계좌번호를 보내준 거래처 담당자의 이메일을 믿은 게 화근이었다. 문제의 이메일을 보낸 사람은 이 대표와 미국 거래처 담당자의 이메일을 불법 해킹한 해커였다. 이 대표는 이틀 뒤인 지난달 24일 ‘진짜 거래처 담당자’의 대금 독촉 이메일을 받고서야 큰 일이 났음을 알게 됐다.

◇여전히 기승 부리는 ‘스피어 피싱’ 사기

이 대표가 당한 사기는 ‘스피어 피싱’의 전형적인 수법이다. 불특정 다수의 개인정보를 빼내는 일반적인 피싱(phishing)과 달리 마치 작살(spear)로 물고기를 잡듯 특정인의 정보를 훔쳐 사기행각을 벌이는 것이다. 대개는 무역업체 간 이메일을 해킹해 상황을 지켜보다 결제 시점에 계좌정보가 바뀌었다는 이메일을 보내 결제 대금을 가로챈다.

최근 코트라(KOTRA)도 2022년 접수된 무역사기 발생 현황과 대응방안 자료를 통해 스피어 피싱의 위험성을 경고했다. 코트라에 따르면, 국내 기업 J사는 파트너인 일본 유통기업 R사로부터 2022년 2월부터 정산받지 못한 미수금 결제 일정을 문의했다 깜짝 놀랄 얘기를 들었다. J사의 거래 은행 계좌가 변경됐다는 이메일을 받은 R사가 세 차례나 결제 대금을 송금한 것이었다. 두 회사의 이메일을 해킹한 범인들은 J사의 법인인감까지 위조해 R사를 속인 것으로 드러났다.

스피어 피싱 사기 피해자들은 이메일 외에 전화 등을 통해 계좌변경 사실을 확인하지 않았다는 공통점이 있다. ‘왜 전화 통화로 확인하지 않았느냐’고 타박할 만 하지만, 상황은 그리 간단하지 않다. 업계 관계자들에 따르면 외국 거래처의 경우 전화를 걸어도 자동응답기로 연결되는 사례가 많다.

더욱이 거래 당사자 양측의 이메일과 메신저프로그램까지 모두 해킹한 범죄집단은 거래내역을 속속들이 파악하고 꽤 오랜 시간 동안 여러 차례에 걸쳐 ‘작업’을 벌인다. 이 대표도 ‘뭔가 이상하다’는 느낌에 미국 거래처에 확인 이메일을 보냈는데, ‘거래에 문제가 없다’는 내용의 답장을 받았다. 이 대표의 이메일을 열어 본 해커가 보낸 답장이었다.

◇예방책은 제자리걸음, 은행은 소극적

스피어 피싱이 4~5년 전부터 기승을 부렸는데도 여전히 효과적인 예방책이 마련되지 않은 것은 문제점으로 지적된다. 오랜 기간 동안 반복적으로 대금을 주고받는 거래에서 예금주나 수취은행, 수취계좌 등이 갑작스럽게 바뀌어도 송금자에게 해당 거래가 정상적인지 여부를 확인하는 ‘알람 기능’이 작동하지 않는 것이다. 일부 은행은 자체적으로 알람을 발동하고 있으나 모든 은행이 그렇지는 않다.

이 대표가 이용하는 N은행도 이런 기능이 없다. 이 은행 관계자는 문화일보와의 통화에서 "고객이 해킹 피해를 입어 잘못된 계좌로 송금했다는 얘기를 듣고 곧바로 미국측 은행에 전문을 보내 자금 반환을 요청했지만, 송금한 계좌가 유효한 계좌번호라서 이미 입금이 됐다는 답변을 받았다"고 전했다. 이 관계자는 "국내 은행 간에는 확인이 즉각적으로 이뤄지는 시스템이 있는데 반해 해외 은행과의 거래에서는 마땅한 방법이 없다"고 말했다.

이 대표는 N은행이 ‘규정대로 처리했다’는 말만 되풀이하며 피해 구제를 위한 협조를 전혀 하지 않는다고 분통을 터뜨렸다. 이 대표는 "미국쪽 은행은 ‘N은행이 지급보증서를 보내면 해커 계좌에 남은 돈을 반환하겠다’는 뜻을 밝히고 심지어 반환 가능 기간을 2주 정도 연장해줬는데 정작 한국의 N은행은 ‘방법이 없다’고만 한다"고 말했다. 한국과 미국 경찰이 수사를 시작한 만큼 사건이 해결될 때까지 미국쪽에서 돈을 반환받아 N은행이 보관해 달라는 요청도, 이 대표가 N은행에 피해금액 만큼의 돈을 담보로 예치할 테니 미국쪽 은행에 지급보증서를 보내달라는 요청도 모두 거부됐다는 것이다. 이 대표는 "N은행이 져야 할 리스크를 제로(0)로 하는 방법을 제시했는데도 ‘안된다’고만 한다"며 "관리하는 게 불편하다는 이유로 피해자의 처지는 전혀 고려하지 않고 있다"고 비판했다.

이에 대해 N은행 관계자는 "이런 사건에서 해외 은행은 통상 리펀드 조건으로 지급보증을 요구하는데, 지급보증 유효기간이 없다는 게 문제"라며 "내규상 유효기간이 없는 지급보증을 하기는 어렵다"고 말했다.

피싱 사기는 계좌 동결과 범인 검거에서 신속성이 더없이 중요함에도, 한국과 외국 수사 당국 간 협조가 더디게 이뤄진다는 점도 문제다. 경찰서에 신고하더라도 광역경찰청의 사이버범죄수사대를 거쳐 외국 수사기관과 공조가 이뤄지기까지 한 달 이상 소요되는 일이 부지기수다.

오남석 기자