가짜 인보이스로 5만천불 송금 사기 등
스캠워치 올해 1099건 신고 접수  

제인 플레밍

아들의 생일 케잌 위에 있는 초에 불이 켜지고 모두가 축하하며 기뻐하는 자리에서조차 호주 주부 제인 플레밍(Jane Fleming)은 잃어버린 돈 때문에 집중할 수 없었다. 5만 1천달러가 눈앞에서 사라진 아주 끔찍한 하루였다. 아들의 아홉번째 생일날 송금한 5만 천달러의 계좌가 가짜였다는 사실을 전달받았다. 

가족과 함께 건축 사업을 하는 플레밍은 지난 5월 하청업체에 5만 1천 달러를 지불하기로 했다. 10년 넘게 함께 일해온 사업자인 사이먼 오도넬(Simon O'Donnell)에게 돈을 지불한 것만 수십번이었던터라 아무 의심없이 돈을 입금했다.  
송금 이틀 후 플레밍은 오도넬로부터 언제 돈 입금이 가능한지를 문의하는 전화를 받았다. 이미 입금했다고 말했지만 오도넬은 아무리 은행계좌를 확인해도 플레밍의 송금액은 찾을 수 없었다. 

누군가 그의 인보이스에 은행 세부 정보를 바꿔치기 했다. 
오도넬은 “코로나로 인해 어려운 시기인 요즘 많은 돈을 잃은 것에 크게 낙담했다”고 말했다. 

플레밍이 오도넬로부터 5만1천달러에 해당하는 인보이스를 받았을 때 은행계좌가 지난 번과 달랐다. 그러나 인보이스를 보낸 이메일은 상당히 구체적으로 업무에 관한 내용이 담겨 있었기 때문에 의심할 여지가 없었다. 회사명의 인보이스였고 이전 사업을 함께 작업한 6개월이 지난 후라는 점에서 그 사이 은행계좌가 바뀌었을 수 있었을 거라 추정하고 재확인 없이 돈을 이체해 온라인 사기를 당했다. 

돈이 입금되지 않아 이메일을 찬찬히 살펴 보던 중 그들은 해당 이메일의 문제점을 발견했다. 
오도넬이 실제 인보이스를 첨부해서 보낸 이메일의 발송 시간과 날짜는 금요일 오후 4시56분이었지만 플레밍이 받은 ‘바뀐 인보이스’가 첨부된 이메일의 날짜는 토요일 오전 7시 30분이었다. 이메일이 약 14시간 동안 변경돼 가짜가 전달된 것. 

서호주의 에디스 코완(Edith Cowan)대학의 컴퓨터 보안 부학장인 폴 하스켈-다우랜드(Paul Haskell-Dowland) 부교수는 “누군가 오도넬 혹은 플레밍의 컴퓨터에 접속해 인보이스를 바꿔치기 한 것으로 보인다”며 “해커들이 건설업체의 웹사이트를 해킹하고 방문자들의 컴퓨터에 악의적인 소프트웨어를 설치한 후 이메일을 이동시키며 원격 접속할 수 있다.  이는 계획된 범죄”라고 설명했다. 

그에 따르면 해커들은 컴퓨터에 직접 접속해 감시할 수 있어 해당 사건처럼 두 당사자들 사이의 이메일을 조작하고 수정해 쉽게 범죄를 저지를 수 있다. 

“해커들은 인보이스를 목표로 수개월 혹은 그보다 더 오랜 기간 동안 해당 컴퓨터를 감시했을 수 있다. 이메일의 내용도 세세하고 치밀하게 분석한 것으로 보인다. 두 사람간 서로 업무와 금액에 대해 서로 조정되는 내용을 지켜보다 최종 인보이스가 발송될 때 바꿔치기 했다.
또한 변경한 인보이스 역시 전문가의 솜씨로 원본과 매우 흡사하다. 실제 원본과 은행 계좌만 다를 뿐 구별하기 어렵다. 오도넬과 플레밍을 목표로 설정한 정교한 비즈니스 이메일 공격(BEC: Business email compromise)의 희생자가 됐다.”
 
스팸메일과 사기 사이트 방지를 위한 국제 경보시스템 '스캠워치(Scamwatch)' 에 따르면, 호주 전역에서 BEC 사기로 인한 피해는 한해 약 530만 달러에 이른다. 그러나 기타 정부기관과 4대 은행의 데이터에 따른 피해까지 합하면 총 1억 3200만 달러로 추산된다. 

올해 현재까지 스캠위치는 370만 달러 상당의 메일 사기 1099건을 접수했다. 

케이트 카넬 중소 기업 옴부즈맨(Small Business Ombudsman)은 “이메일 사기 피해를 입은 기업들의 거래당 평균 손실액은 1만 달러다. 최근 약 2천개의 중소기업을 대상으로 설문 조사를 실시했으며 그중 62%가 사이버 테러로 피해를 본적이 있다고 답변했다. 일종의 송장(인보이스) 가로채기 수법은 가장 흔한 사례 중의 하나”라고 설명했다. 

그는 “사이버 피해 사례는 계속 늘고 있으며 특히 안전한 시스템을 갖추고 있지 않은 집에서 자택근무를 하는 직장인들이 많아지면서 피해 사례가 더 늘고 있는 것으로 보인다”라고 지적했다. 

사이버 범죄는 특성상 범인을 특정하는 것이 매우 어렵다. 오도넬과 플레밍의 집과 기업의 컴퓨터를 조사했지만 악성코드는 발견하지 못했다. 

하스켈-다우랜드 박사는 “공격에 성공했기 때문에 범죄자들에 의해 악성코드가 제거되었을 가능성이 높다”고 말했다. 

캔버라의 건설업자도 최근 같은 방법으로 2만 달러의 피해를 당했다. 

건축업자 사이먼 오도넬

해당 사건의 홈페이지를 해킹한 사이트는 싱가포르에 서버를 두고 있었으며 남아프리카공화국 은행 입출금기에서 현금을 인출하는 등 수사에 혼선을 주고 있다. 또 해외 조사에는 한계가 있어 경찰 조사는 무기력할 수 밖에 없는 실정이다. 

빅토리아 경찰청의 데이비드 모리슨은 “해당 범죄 조직에 대해 알아내기 위해 최선을 다하고 있다. 온라인 상에서 허위 이름과 주소로 개설된 계좌로 사실상 범인을 찾기는 상당히 어렵다”고 말했다. 
오도넬과 플레밍이 당한 이메일 송금 사기 사건을 관할하는 빅토리아 경찰은 남아공 수사에 관할권이 없을뿐더러 인터폴은 100만달러 이상의 사기 사건만 수사하기 때문에 실제 범인을 잡을 수 있는 가능성은 희박하다. 

모리슨은 “해당 사건이 호주연방경찰(AFP)에 전달될 경우 조사가 가능하다”고 덧붙였다. 하지만 AFP는 연방 정부 부처, 국가적으로 중요한 기반 시설 및 정보시스템에 대한 사이버 범죄의 조사가 최우선 과제인 만큼 개인의 사건이 조사될 가능성은 적다. 

플레밍이 입금한 계좌는 커먼웰스은행(CBA)으로 은행측에 대해서도 강력히 책임을 묻고 있는 중이다. CBA의 계좌는 온라인 상으로 도용된 이름과 주소를 사용해 만들어진 허위 계좌였다. 계좌 개설의 허점이 범죄에 악용되고 있는 것. 

플레밍은 “CBA로부터 아무런 문제를 찾지 못해 환불 요청을 거절한다는 이메일을 받았다. 누구나 쉽게 아무 이름으로 은행 계좌를 만들 수 있다는 점은 말이 되지 않는다. 해외 범죄자들이 쉽게 호주에서 범죄를 일으키지 못하도록 은행의 방침은 변경되어야 할 필요성이 있다”고 말했다. 
호주에서도 사이버 범죄가 점점 더 교묘해지면서 피해가 커지는 추세다.

저작권자 © 한호일보 무단전재 및 재배포 금지