이메일 암호화 기법 #18
제7장 이메일 해킹 피해사건 사례
대기업도 이메일 스캠에 속아 240억을 날렸다.
대기업 L사가 글로벌 기업을 사칭한 이메일에 속아 200억 원대 피해를 보고 검찰에 수사를 의뢰했던 적이 있다. L사는 2016년 3월 거래업체인 ‘아람코프로덕트트레이딩’으로부터 납품대금 계좌가 변경됐다는 이메일을 받았다.
아람코프로덕트트레이딩은 세계 최대 석유회사인 사우디아라비아 국영 ‘아람코’의 자회사로, L사는 이 회사에서 석유화학제품 원료인 나프타를 수입해 왔다.
거래선의 이메일 주소가 기존에 주고받았던 것과 동일할 뿐 아니라, 계좌 명의도 이전과 같다는 것을 확인한 L사 담당직원은 해당 계좌에 240억 원을 송금했다. 그러나 이 계좌는 기존 거래선인 아람코프로덕트트레이딩과 관계가 없는 것으로 최종 확인됐다.
L사 해커가 두 회사가 주고받는 이메일을 중간에서 가로채 거래 내용, 대금 규모, 지불시기 등을 상세히 파악한 뒤 양쪽에 사기성 이메일을 보낸 것으로 추정하고 있다. L사는 이 사건을 수사기관에 수사의뢰를 했지만 해커를 붙잡기는 쉽지 않을 것으로 보고 있다.
한국무역협회 발표 자료를 보면 이메일 해킹으로 인한 국내 기업의 무역대금 사기 피해는 2013년 44건, 2014년 71건, 2015년 상반기 61건이 발생했다. 거래처를 위장해 거래대금을 가로채는 사기의 40%가 중소기업을 대상으로 일어나고 있다.
미국 보안회사 시만텍이 자사의 이메일 보안 솔루션 데이터를 분석해 ‘송금 유도 이메일 사기’ 현황을 조사한 결과 범죄자들은 무차별적으로 기업을 공격하고 있지만, 중소기업에서 가장 많은 피해가 발생하고 있으며, 금융권이 14%로 그 뒤를 잇는 것으로 분석됐다.
송금 유도 이메일 스캠사건은 최근 미국 FBI가 이와 관련해 경고 의견을 낼 만큼, 전 세계적으로 확산되고 있다. FBI가 분석한 결과에 따르면 송금 유도 이메일 스캠으로 발생한 피해가 3년간 30억 달러(3조4,400억원)에 달하며, 전 세계에서 2만2,000개 이상 기업이 피해를 입었고, L사를 포함한 국내 대기업에서도 이런 스캠 메일로 많은 금액의 피해를 입었던 사실이 알려진 바 있다.
이 무역 대금 송금사기 수법은 전문 지식과 기술이 거의 필요 없는 차원 낮은 공격이지만 성공하면 얻을 수 있는 금전적 이득은 매우 크다. 최근 오스트리아의 한 항공우주 분야 제조사는 ‘송금 유도 이메일 스캠 사기’를 당해 약 5,000만 달러(약 574억 원)의 피해를 입었고, 이 사건 이후 사장과 CFO를 해고한 바 있다.
L사는 아람코프로덕트트레이딩이나 거래은행에 상당 부분 과실이 있다고 잠정 결론을 내렸다고 한다. 따라서 향후 이들 두 업체 간의 책임공방을 피할 수 없을 것이며 국제 무역 분쟁으로 비화할 것이라는 분석이 나온다.
또한 몇 년 전 포스코대우도 과거 이와 유사한 이메일 해킹 수법으로 해커에게 속았던 것으로 확인됐다. 재계에 따르면 포스코대우(당시 대우인터내셔널)는 2013년 2월 거래업체 이메일을 받았다.
하지만 해당 이메일 주소는 ‘power’ 철자가 ‘powre’로 바뀐 해커의 스캠 이메일이었다. 거래업체에도 포스코대우의 정식 이메일인 ‘@daewoo.com’이 아닌 철자 ‘o’가 하나 더 있는 ‘daewooo.com’으로 발송됐다.
당시 포스코대우 담당자는 철자가 다르다는 사실을 모르고 거래대금을 송금했다. 포스코대우 관계자는 “정확한 송금 액수는 밝힐 수 없다”며 “송금한 뒤 확인 과정에서 해커가 보냈다는 것을 인지하고 계좌를 동결해 일부 금액을 회수했다”고 밝혔다.
2014년 9월에도 포스코대우와 거래처가 주고받은 이메일 내용이 해킹당한 것으로 알려졌다. 당시 해커는 10% 선지급금을 보내 달라는 내용의 이메일을 발송했다. 포스코대우는 과거와 달리 유선전화로 확인을 거쳐 해킹 사기 피해를 막을 수 있었다.
한편 포스코대우는 L사 사건 이후 전 직원을 대상으로 거래 결제계좌 변경은 유선전화와 공식문서로 ‘이중 확인’하라고 공지했다. 거래처에도 해킹 사기에 속지 않도록 주의를 당부했다.
대기업 무역회사 등 해외 송금 거래가 많은 기업들은 ‘입출금 계좌 변경은 공문으로만 접수 및 요청할 것’이라는 기본적인 보안수칙을 직원들에게 환기시키며 단속에 나서고 있다.
스캠 메일은 이메일 주소가 길고 철자가 복잡한 거래처의 메일 주소로 위장하는 경우가 많다. 영문자의 ‘i’ 와 ‘l’, 영문 ‘o’와 숫자 ‘0’등을 교묘하게 바꾸거나 동일한 철자를 한 글자 더 중복하여 메일주소를 최대한 눈치 채지 못하게 은폐, 위장한다.
이메일 @뒤의 trade.com을 trade.co 와 같이 한 글자를 빼고 변조, 또는 한 글자를 비슷한 다른 글자로 변경하는 등 자세히 보지 않으면 거래처의 정상 메일로 착각하도록 만든다. 대부분의 회사가 해외 무역거래로 인한 시차가 있기 때문에 각 담당자들은 실시간으로 입금내역을 확인할 수 없다.
무역대금의 금전거래가 오갈 경우 반드시 실시간 SNS 및 전화 확인, 팩스 송수신 등의 2중, 3중의 확인 방법이 필요하다.
PC 또는 스마트폰의 정기적인 바이러스 검사, 이메일 계정의 주기적인 비밀번호 변경 원칙과 같은 보안수칙도 제정하여 철저히 준수해야 한다.
사전 예방과 주의만의 소 잃고 외양간 고치는 격의 이메일 스캠 사고를 방지할 수 있는 유일한 길이다.
<메일주소의 스펠을 변경하는 유혹의 마법에 걸리지 않기 바랍니다!>https://www.instagram.com/koreahouseman/?hl=ko 그림제공 - 건축가 <家人>
