▲ 작살로 백상아리를 사냥하는 모습.
스피어피싱은 이처럼 특정 타깃을 대상으로 벌이는 금융범죄를 뜻한다. /조선DB
지난 달 LG화학이 이메일 해킹 사기로 거래 대금 240억원을 날리게 된 출발점은, 거래 기업을 가장한 사기꾼이 보낸 한 통의 이메일이었다. 이렇게 거래처나 지인(知人)으로 가장해 사기 계좌로 송금을 요청하는 가짜 이메일을 보내는 사기 수법을 스피어 피싱(spear phising)이라 부른다.
열대 지방 어민들의 ‘작살 낚시’를 뜻하는 이 수법은 최근 미국, 러시아, 유럽 등 해외에서 급속하게 퍼지고 있다. 1~2년 전부터 국내 중소기업들의 피해 사례도 종종 발생했다. 그러나 보안이 철저할 것으로 여겨지는 대기업에서 스피어피싱 피해 사례가 발견된 것은 사실상 이번이 처음이다.
금융당국 관계자는 “여러 차례에 걸쳐 주의해 달라고 당부했는데 대규모 사건이 터져 안타깝다”면서 “거래 상대방이 거래 계좌를 바꿔 달라고 요청하면 송금 전에 거듭 확인했어야 하는데 왜 이런 실수가 발생했는지 모르겠다”고 말했다.
[작살로 백상아리를 사냥하는 모습. 스피어피싱은 이처럼 특정 타깃을 대상으로 벌이는 금융범죄를 뜻한다. /조선DB] 작살로 백상아리를 사냥하는 모습. 스피어피싱은 이처럼 특정 타깃을 대상으로 벌이는 금융범죄를 뜻한다. /조선DB
불특정 다수의 개인정보를 빼내는 일반 피싱과 달리, 스피어 피싱은 이메일 해킹을 통해 피해 기업의 거래 내역이나 계좌 정보를 캐내 치밀하게 준비를 하기 때문에 피해자가 거래 기업으로부터 “왜 입금을 하지 않느냐”며 연락을 받을 때까지 피해 사실조차 인지하지 못하는 경우가 적지 않다.
◆ 고객 의심 피해 몰래 돈 빼내는 사이버 은행강도
러시아 보안업체인 카스퍼스키랩(Kaspersky Lab)에 따르면, 스피어피싱 범죄자들은 주로 악성 소프트웨어를 심은 이메일을 보내 컴퓨터의 스크린샷을 캡쳐하거나 컴퓨터를 다루는 모습을 녹화한다. 이런 방법으로 피해자의 입출금 체계를 수개월 넘게 관찰하다가 다른 은행에 만들어 둔 계좌로 돈을 이체하도록 이메일을 보내는 것이다.
지난 해에는 ‘카르바나크(carbanak)’라 불리는 국제 범죄자들이 수년간 세계 100여개 은행에서 10억달러(약 1조원)을 인출한 사실이 알려지면서 금융권의 주목을 받기도 했다. 카르바나크에는 러시아와 우크라이나, 유럽, 중국 출신 범죄자들이 섞여있는 것으로 추정된다.
국내에서도 나이지리아 출신 남성 3명이 중소기업을 상대로 스피어피싱을 벌이다 검찰에 구속된 적이 있다. 당시 피해자는 총 73명, 피해금액은 144억원에 달했다. [신한은행은 지난 3월 고객들에게 스피어피싱 주의를 당부하는 안내 공문을 보냈다./사진=신한은행 제공] 신한은행은 지난 3월 고객들에게 스피어피싱 주의를 당부하는 안내 공문을 보냈다./사진=신한은행 제공
◆ 피해 발생해도 구제 방법 없어…금감원 “거래 계좌 확인 등 주의 당부”
스피어피싱은 피해가 발생해도 구제 방법이 사실상 전무하다. 국내 은행 계좌를 이용하는 보이스피싱(전화금융사기·Voice Phishing)은 피해 사실을 인지한 순간 돈을 보낸 은행에 ‘지급 거래 정지’ 신청을 내면 피해금을 돌려받을 길이 생긴다. 또 사기 범죄자가 입금한 돈을 인출하지 않았다면 ‘타행환 반환 청구 소송’을 통해 돌려받을 수 있는 길도 있다.
그러나 해외 계좌로 송금을 하다 피해가 발생하는 스피어피싱은 피해 구제 방법이 사실상 전무하다는 게 은행 관계자들의 설명이다.
국내 은행처럼 해외 은행에 ‘지급 거래’ 신청을 하는 것이 불가능하고, 국내 은행 간 거래와 달리 해외 계좌의 예금자는 확인하기가 쉽지 않기 때문이다. 피해금 반환 청구 소송을 제기하려 해도 국제 소송을 제기해야 하기 때문에 적잖은 비용이 든다.
오순명 금융감독원 부원장보는 “원칙적으로 스피어피싱으로 인해 발생한 피해는 대부분 해당 기업의 책임이고 은행에 책임을 물긴 어려운 사안”이라며 “해당 기업이 송금하기에 앞서 거래처나 고객의 계좌를 확인할 의무가 있기 때문”이라고 말했다.
