특정 기업을 겨냥한 온라인 사기가 기승을 부리고 있다. 피해 기업들도 대부분 신고하지 않는 등 적극적으로 대처하지 않음으로써 사기행각 시도 및 피해 규모는 더욱 늘어나고 있다는 지적이다.
공식 신고 접수는 빙산의 일각... 피해액 30억 달러 추산
최근 전 세계 컴퓨터 네트워크를 마비시킨 ‘랜섬웨어’(ransomware), ‘워너크라이’(WannaCry)에 이어 ‘아딜커즈’(Adylkuzz, 암호화 가상 화폐를 채굴하는 툴)라는 새로운 악성 프로그램의 등장으로 사이버 보안문제가 다시 도마에 오른 가운데, 기업체를 대상으로 한 온라인 사기가 기승을 부리고 있다고 지난주 금요일(19일) ABC 방송이 보도했다.
방송은 지구촌을 떨게 만든 대규모 해킹보다도 일상에서 발생하는 사기사건이 더 위험하다고 전했다. 불특정 다수를 상대로 한 글로벌 해킹공격들과 달리 사업체를 상대로 한 사기사건 중 85%가 특정 기업을 겨냥한 것으로, 사기범들은 철저하게 계획된 이메일과 전화를 활용하고 있다.
▲ 온라인 사기시도 사례= 론세스톤 처치 그래머 스쿨(Launceston Church Grammar School)의 회계팀에서 근무하는 제이슨 킹(Jason King)씨는 학교 이사장의 이름으로 된 계정으로부터 한 홍콩 거래처에 외상 매입금을 입금하라는 이메일을 받았다.
기존에 거래해온 홍콩의 공급처로 송금하라는 내용이었고 이메일도 진짜 같은 느낌을 풍겨 처음에는 크게 의심하지 않았다. 그러나 생소한 이메일 주소에 평소 거래금액을 훨씬 넘은 12만1천 달러라는 액수에 의구심을 품은 그는 학교 이사장에게 확인 전화를 걸었다. 사기 메일이라는 것이 밝혀진 후 킹씨는 곧바로 호주 연방경찰과 호주 공정경쟁소비자위원회(Australian Competition and Consumer Commission. ACCC)에 이 사건을 신고했다.
그는 이후 홍콩으로부터 송금이 완료됐는지 여부를 묻는 또 다른 사기성 이메일을 받았고, “경찰에 신고했다”는 답변을 보내자 그 이후로 연락이 없었다고 전했다.
▲ 공공기관도 무방비= 이러한 기업 표적 사이버 공격은 공공기업도 예외가 아니다. 브리즈번 시티 카운슬(Brisbane City Council)은 작년 한해 9개가 넘는 가짜 청구서(invoices)를 받았고 이로 인한 피해액은 45만 달러 이상에 달한다고 밝혔다.
‘랜섬웨어’ 등과 같은 악성 프로그램으로 기업의 네트워크를 마비시킨 후 돈을 요구하는 사례도 종종 발생하고 있다. 전문가들은 사이버 해킹을 예측하는 것이 불가능하다며 사이버 보안을 강화해야 한다고 말한다.
▲ 사기피해, 대부분 신고 안 해= 호주 공정경쟁소비자위원회(Australian Competition and Consumer Commission, ACCC)와 사이버범죄온라인신고(Australian Cybercrime Online Reporting network, ACORN)가 공동 조사한 자료에 따르면 전국에서 공식 신고된 온라인 사기 피해금액은 3억 달러에 이른다.
그러나 사기 접수 건수가 아닌 호주통계청(Australian Bureau of Statistics, ABS)의 개인 사기조사(Personal Fraud Survey) 자료를 통해 밝혀진 피해금액은 이보다 10배 높은 30억 달러 규모이다.
온라인 사기와 관련한 ACCC의 최근 보고서 ‘ScamWatch’에 따르면 특히 2016년 한 해 사업체를 겨냥한 사기는 30% 이상 증가했다. 6천 건의 사업체 사기사건이 신고 접수 됐으며, 사업체 당 평균 피해금액은 1만 달러에 달했다.
보고서는 많은 소규모 사업체들이 사기를 당하고도 적극적으로 대응하지 않고 있다고 전했다. 신고 후 신경써야하는 골칫거리가 많고 보험사를 통해 보상을 받아도 추후 보험료 인상만 초래한다는 이유다.
▲ 소규모 기업, 가장 쉬운 표적= 온라인 사기 형태는 ‘랜섬웨어’ 등을 이용한 해킹, 사업체 표적 이메일 전송, 아날로그적 수법에 의한 투자사기 등 크게 세 그룹으로 볼 수 있다. ‘랜섬웨어’는 컴퓨터 시스템을 잠그거나 데이터를 암호화해서 사용할 수 없도록 만든 다음 이를 사용하고 싶다면 돈을 내라고 요구하는 악성 프로그램으로 호주 우체국(Australia Post)이나 미국 배송업체 페덱스(Fedex)와 같이 합법적인 기업체를 가장해 접근하는 것으로 알려져 있다.
이메일은 회사의 고위간부나 기존 거래업체를 가장해 돈을 입금하라는 수법으로, 사기범들이 노리는 가장 일반적인 대상은 소규모 사업체들이며, 전통적 투자사기는 ‘비현실적으로’ 부풀려진 수익을 제시해 사업체로부터 투자를 유인하는 수법이다.
이 같은 금융사기 피해는 보험사로부터 보상을 받아내기가 쉽지 않다. ABC 방송은 대부분의 경우 송금에 사용된 계좌 은행에 책임 소재를 묻기 어려운 것이 현실이라고 전했다.
김진연 기자 herald@koreanherald.com.au