[토요경제=박지원 기자] 목재를 수입해 판매하는 A사는 평소 홍콩 소재 수출업체 B사와 수입대금 송금을 위한 이메일을 수차례 주고받았다. 그러던 중 A사는 B사의 사정상 C사 명의로 개설된 계좌로 대금을 수취해야 한다는 이메일을 받았다. 이에 A사는 이메일에 표시된 홍콩 소재 해외은행 계좌로 대금을 송금했다. 그러나 A사는 수일이 지나 B사로부터 수출대금을 받지 못했으니 대금결제를 해달라는 요청을 받았다. 이에 A사는 이미 송금했다고 했지만 B사는 C사 명의계좌로 송금지시를 내린 적이 없다고 밝혀왔다. A사는 뒤늦게 이메일 해킹에 의한 무역대금 사기피해임을 인지하고 송금은행에 자금반환을 요청했지만 자금출금 등을 이유로 거절돼 분통을 터뜨릴 수밖에 없었다.

4일 금융감독원은 이메일을 이용해 무역활동을 하는 중소기업을 대상으로 스피어피싱(Spear-phishing) 범죄가 잇따르고 있다고 밝히고 각별한 주의를 당부했다.

스피어피싱은 작살낚시를 빗댄 표현으로 불특정 다수의 개인정보를 빼내는 기존 피싱과 달리 기업 등 특정인을 목표로 삼는다. 주로 이메일을 해킹해 계정정보 탈취하는 수법으로 이메일 상의 거래내역 등을 파악하고 사기계좌로 송금을 요청하는 가짜 이메일을 송부한다.

특히 스피어피싱은 사기수법의 특성상 거래이력이 있는 기업이나 지인을 가장해 송금 등을 요청하므로 전화, Fax 등을 통해 거래의 확실성을 파악하기 전에는 범죄여부를 파악하기 곤란하다. 아울러 피해를 인지하는 시점이 늦기 때문에 피해금 회수는 사실상 불가능하다.

국내계좌 송금의 경우 지급정지가 가능하나 해외계좌로 송금한 경우는 지급정지가 불가능해 사후 반환요청을 수취인이 동의하지 않으면 피해금 반환이 불가능하기 때문이다.

이 같은 스피어피싱을 예방하기 위해서는 거래당사자 간 결제관련 주요정보는 전화나 Fax로 확인하고, 국내수출업자는 사전에 입금계좌번호, 예금자명 등 거래대금 결제에 관련된 주요정보를 전화나 Fax로 재확인토록 해야 한다는 것이 금감원 측의 설명이다.

금감원은 이메일 보안 관리에도 만전을 기해야 한다고 당부했다. 사이버 범죄에 대한 처벌이 쉽지 않은 나이지리아, 필리핀 등의 국가에서 스피어피싱이 이뤄지고 있기에 이메일의 비밀번호는 수시로 변경토록 하고 해외IP의 로그인 차단 기능을 설정해야 한다는 것.

이밖에도 악성코드 감염 예방을 위해 출처가 불분명한 파일 다운로드나 이메일 클릭에 유의하고 악성코드 탐지와 제거를 주기적으로 수행할 필요성도 언급했다.

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]