특정 대상 노리는 ‘스피어피싱’ 주의보
인천에서 목재를 수입 판매하는 A 회사는 평소 홍콩에 위치한 수출업체 B 회사와 수입대금 송금을 위한 이메일을 수차례 주고받았다. 어느 날 A 회사에 “B 회사 사정상 C 회사 명의로 개설된 계좌로 대금을 받아야 한다”는 내용의 이메일이 왔다. 평소 대금결제 관련 정보를 이메일로 여러 차례 주고받은 A 회사는 이를 의심하지 않았다. A 회사는 2만 5109달러(약 2900만 원)를 이메일에 표시된 홍콩 소재 해외은행 계좌로 송금했다.
수일이 지난 후 B 회사는 A 회사에 수출대금을 달라고 요청했다. A 회사는 이미 송금했다고 했으나 B 회사는 받은 적이 없다고 주장했다. A 회사는 C 회사 계좌로 송금했다고 설명했지만 B 회사는 C 회사 명의계좌로 송금지시를 내린 적이 없다고 전했다. 그제야 A 회사는 이메일 해킹에 의한 무역대금 사기피해를 인지했다. A 회사는 송금은행에 자금반환을 요청했으나 이미 출금된 돈이라서 돌려받을 수 없다는 답변만 들었다.
이 내용은 금융감독원이 소개한 스피어피싱의 피해사례다. 최근 이 같은 수법의 스피어피싱 범죄가 잇따르고 있다. 스피어피싱이란 특정인의 정보를 캐내는 피싱 공격을 지칭하는 용어로 작살낚시(spearfishing)에서 따온 말이다. 스피어피싱은 불특정 다수의 개인정보를 빼내는 기존 피싱과 달리 특정인이나 특정기업을 공격 목표로 삼는 게 특징이다. 주요 유형으로는 기업이 사용하는 이메일 해킹, 말웨어와 같은 악성코드를 첨부한 이메일 전송 등이다. 스피어피싱 사기범은 국내 수출업자나 수입업자가 사용하는 이메일을 해킹해 계정정보를 우선 탈취한다. 이들은 이메일 상의 거래내역을 확인한 후 사기계좌로 송금을 요청하는 가짜 이메일을 보내 앞서의 사례처럼 돈을 받아낸다.
스피어피싱을 통한 금전편취 수법. 사진제공=금융감독원
스피어피싱은 세계적으로 증가하는 추세다. 미국 사이버 보안기업 시만텍은 ‘2016년 인터넷 보안 위협 보고서 제21호’에서 지난해 스피어피싱 공격이 전년 대비 55% 증가했다고 전했다. 다만 하나의 스피어피싱 공격 계정에서 이메일을 발송한 횟수는 12회로 전년 대비 52% 감소했다. 전문가들은 스피어피싱이 무작위 피싱이 아닌 한 타깃을 정교하게 노리는 피싱이라고 분석한다. 보고서는 “과거에는 스피어피싱 공격 계정 하나에서 수백 명에게 피싱 이메일을 보냈기에 수신자 대부분은 내용에 의심을 가지고 볼 수 있었다. 그러나 타겟을 정확히 잡아 공격하면서 피싱 성공 확률이 높아졌다”고 전했다.
보고서는 스피어피싱을 전문적으로 하는 조직들도 있다고 전했다. ‘블랙바인’이라는 집단은 주로 항공우주산업과 의료산업 관련 기관을 공격하는 것으로 알려졌다. 이들은 지난해 초 미국 보험회사 ‘앤섬’을 해킹한 집단으로도 유명하다. 이란에 본부를 둔 해킹집단 ATG9는 언론사, 인권운동가, 과학자 등의 정보를 해킹해 범죄에 사용한다. 이외에도 유럽 정부기관, 유명인사 등을 주로 공격하는 집단 ‘듀크’와 ‘시듀크’도 주의대상이라고 밝혔다.
국내에서도 스피어피싱 범죄가 주목받고 있다. 주로 중소기업이 피해를 봤던 사례들과 달리 최근 대기업인 LG화학도 피해를 본 사실이 알려졌기 때문. LG화학은 지난 3월 사우디아라비아 국영 석유회사인 아람코의 자회사 ‘아람코 프로덕트 트레이닝’으로부터 납품대금 계좌가 변경됐다는 이메일을 받았다. LG화학은 해당 계좌로 약 240억 원을 송금했지만 이내 스피어피싱 범죄임이 밝혀졌다. 240억 원은 국내 스피어피싱 범죄 최다 피해액으로 알려졌다.
스피어피싱 범죄 피해자는 구제를 받기가 사실상 어렵다. 국내 계좌로 돈을 송금한 경우만 지급 거래 정지 신청을 통해 피해금을 돌려받을 수 있다. 또한 피의자가 돈을 인출하기 전이라면 타행환 반환 청구 소송을 통해서도 구제가 가능하다. 그러나 대부분의 스피어피싱은 해외 계좌로 돈을 요구한다. 해외 계좌의 경우는 지급정지가 불가능하며 수취인이 반환요청에 동의하지 않는다면 반환 역시 불가능하다.
반대로 해외에 있는 회사를 타깃으로 해 국내 계좌를 이용하는 경우도 있다. 국내 수출업자를 가장해 해외 수입업자에게 송금을 요청하는 것. 그러나 스피어피싱 범죄자들은 보통 해외에 본부를 두고 있기 때문에 국내에서 검거가 쉽지 않다. 따라서 자금 회수가 어렵고 국내 수출업자는 해외 수입업자와의 관계 지속을 위해 금전 피해를 일부 떠맡는 경우까지 나오고 있다.
금융감독원 전경.
금감원은 피해 예방을 위해 몇 가지 유의사항을 전했다. 우선 거래당사자 간 주요정보는 전화나 팩스로 확인하고 이메일 진위여부를 반드시 확인하라고 당부했다. 스피어피싱은 반드시 이메일 해킹만으로 이루어지는 게 아니라 유사 이메일을 사용한 사기도 있기 때문이다. 실제로 포스코대우는 과거에 ‘power’를 ‘powre’로 바꾸고 ‘@daewoo.com’를 ‘@daewooo.com’으로 바꾼 이메일에 속을 뻔한 적이 있다고 밝혔다.
또한 무엇보다 이메일 보안관리가 철저해야 한다고 전했다. 스피어피싱 사기범은 사이버 범죄에 대한 처벌이 쉽지 않은 나이지리아, 필리핀 등에서 주로 활동하는 것으로 알려졌다. 따라서 이메일의 비밀번호를 수시로 바꾸고 해외IP 로그인 차단 기능을 철저히 하라고 전했다.
마지막으로 컴퓨터 보안점검의 생활화를 강조했다. 금감원 관계자는 “기본적으로 악성코드 감염 예방을 위해 출처가 불분명한 파일이나 이메일 다운로드에 유의해야 한다”며 “스피어피싱을 위한 악성코드는 신뢰할 만한 출처를 가장하여 송부되는 이메일, 메시지 등을 통해서도 유포될 수 있으므로 악성코드 탐지 및 제거를 주기적으로 수행해야 한다”고 전했다.
박형민 기자 godyo@ilyo.co.kr