닫기

글로벌이코노믹

중소기업 울리는 신종 이메일 해킹

공유
0

중소기업 울리는 신종 이메일 해킹

- 이메일 로그인 정보 해킹 후 담당자 행세 -
- 해외 거래 시 이메일 보안관리 철저히, 팩스·전화 등 PC 아닌 통신수단도 적극 활용해야 -



이메일 무역사기는 거래당사자가 아닌 제3자가 거래당사자의 이메일을 해킹 또는 변조해 대금을 탈취하는 무역사기 대표 유형이다. KOTRA의 '2018/2019 무역사기 발생 현황 및 대응방안' 보고서에 따르면 2015년부터 2019년 8월까지 해외무역관에 접수된 무역사기 총 358건 중 이메일 무역사기 유형은 약 28%(99건)로 최대 비중을 차지했다.
주: 기타(63건), 서류위조(55건), 금품갈취(43건), 결제사기(41건), 선적불량(40건), 불법체류를 위한 바이어 빙자(17건) 순

이메일 무역사기 세부 유형 살펴보기


이메일 무역사기 세부 유형

구분
내용
1. 이메일
유사 변조
(기존 형태)
ㅇ 기업의 이메일 주소를 교묘하게 변경한 후 위조된 인보이스 등 결제서류를 거래처에 보내는 수법
① 중간철자 삭제
(예) widgetspo@freemail.com → widgetpo@freemail.com
② 숫자 재배치
(예) acmepof868@freemail.com → acmepof686@freemail.com
③ 도메인 변경
(예) iamthebest@kora.com → iamthebest@krea.com
④ 글자변환
(예) sales@gmail.com → saIes@gmail.com
· 소문자 L을 대문자 I로 변경함. 글자 크기를 키워 확인 가능
⑤ 숫자·첨자 추가
(예) abcdekim@email.com → abcde.kim@email.com
2. 이메일
계정 해킹
(신규 형태)
ㅇ 공격 대상 기업의 이메일 로그인 정보를 탈취한 후 결제서류 내 계좌정보를 변조해 거래처에 보내는 수법. 메일을 수신하는 거래처 입장에서는 사업파트너의 메일주소가 기존과 동일하므로 의심을 쉽게 풀게 됨.
① 포털 사이트 관리자를 사칭해 보안경고 메일 발송
- 보안에 문제가 발생했다는 메일을 보내 비밀번호 입력 유도
② 이메일 내 첨부파일로 악성코드 설치 유도(스피어피싱)
자료: KOTRA, 한국인터넷진흥원(KISA)

기존의 이메일 무역사기는 1번 이메일 유사 변조 유형이 일반적이었다. 해커가 철자 간 순서를 변경하거나 숫자·첨자를 추가해 수신자의 눈을 속이는 방식이다. 특히 거래처와의 연락이 잦아지는 과정에서 경계심이 풀어져 이메일 주소 확인에는 소홀해지는 점을 악용하는 것이다. 하지만 사회 전반적으로 정보보안에 대한 경각심이 높아질수록 이메일 유사 변조 유형의 성공 확률은 낮아진다고 볼 수 있다. 이때 해커는 기업의 이메일 계정 해킹을 통해 로그인 정보 자체를 탈취해 거래처의 의심을 차단하는 수법을 쓴다.

이 2번 유형에서 해커는 특정 기업의 영업비밀이 들어있는 이메일을 탈취해 오랜 기간 기업과 거래처가 주고받는 내용을 관찰한다. 그리고 거래가 성사되고 인보이스 등 대금결제 관련 서류가 오가는 시기에 적극 개입해 거래처에 계좌정보가 바뀌었다는 메일을 보낸 후 기록을 삭제한다. 또한 거래처 입장에서는 상대방의 이메일 계정이 동일하다 보니 의심을 상대적으로 쉽게 풀게 되는 것이다. A사의 사례 역시 이에 해당하는데 아래 진행일지를 통해 어떻게 피해가 발생했는지 살펴보자.

국내기업 A사, 독일 선사에 기자재와 서비스 공급해, 대금은 해커 계좌로


지난 4월 KOTRA 함부르크 무역관에 국내 중소기업 A사의 다급한 지원요청이 접수됐다. 지난 2월 한국에 정박 중이던 독일 선사 소속 선박에 기자재와 유지보수 서비스를 제공한 후 총 11건의 인보이스에 대한 약 2만7000달러(한화 약 3300만 원)의 대금을 지급받지 못했다는 내용이었다.

해커가 국내기업 A사의 이메일 계정을 해킹해 인보이스 내 계좌정보를 위조했고 독일 선사는 3월 중순 해커가 바꿔치기한 홍콩 계좌로 이미 대금을 송금한 상황이었다. 독일 선사는 계좌변경을 처음 통보받았을 때 이상한 낌새를 느꼈지만 A사의 이메일 주소는 동일했기에 의심의 끈을 놓았던 것이다.

위조된 인보이스



자료: 국내기업

사건일지를 통해 해커가 어떻게 활동했으며, 어떤 식으로 양사 간 거래에 개입하고 빠졌는지 구체적으로 들여다보자.

사건일지 정리 내역

날짜
진행 상황
특이사항
2020.1.30.

국내기업 A사, 한국 정박 중인 독일 선사 소속 선박에서 선박관리자 B씨와 유지보수작업에 합의


2.4.~2.8.
A사, 선박 유지보수작업 실시



2.
A사, 독일 선사에 메일로 인보이스 송부

2020.2.5.~18.

- 해커, A사 이메일 계정에서 집중 활동
- 독일 선사가 계좌 변경 유무를 이메일로 문의, 해커는 선사에 홍콩계좌로 바꿨다며 송금 재촉(해커, 해당 메일 삭제)
2.9.
A사, 출국하는 독일 선사 선박관리자 B씨에게 선박유지보수 보고서 전달

2.18.
해커, A사를 빙자해 계좌정보가 위조된 인보이스를 독일 선사에 송부(해커, 해당 메일 삭제)
2.26.
독일 선사 선박관리자 B씨, 오더 넘버 부여하며 A사에 이메일 및 선박관리 프로그램 MESPAS로 인보이스 추가 송부 요청



2.27.~3.2.
A사, 독일 선사 이메일 및 MESPAS로 정상적인 인보이스 추가 송부(독일 선사 미회신)
로그인 기록 추적 결과 2월 27일부터 독일 선사 송금일인 3월 11일까지는 해커의 추가 개입 없었음.
- 독일 선사가 정상적인 인보이스를 수령한 후 송금시점까지 공백기간 존재(사태 방지 가능 기간)
3.3.
A사, 독일 선사 선박관리자 B씨에게 인보이스 받았는지 문의, B씨는 서류를 잘 받았다고 응답
3.11.
독일 선사는 11개 인보이스 대금 약 2만7000달러를 해커 계좌로 오송금


이렇듯 이메일 무역사기 피해를 보더라도 그 수법이 교묘해 거래당사자가 인지하기까지 시간이 소요되며, 뒤늦게 인지한 후에는 이미 대금이 해커에게 넘어가 손 쓸 수 없는 상태가 되는 경우가 많다. A사와의 인터뷰 내용을 살펴보자.

국내기업 A사 인터뷰


Q1) 이메일 해킹 사실은 어떻게 알게 되셨나요?

A1) 지난 2월 독일 선사에 선박 유지보수 서비스를 제공하고 인보이스를 이메일로 송부했습니다. 예상했던 것보다 송금이 늦어져서 처음에는 "독일 업체가 바쁘니까 그럴 수도 있겠지"라고 생각하다가 점차 걱정돼 3월에 송금 여부를 문의했습니다. 그런데 독일 선사가 "귀사가 변경 사실을 고지한 계좌로 이미 송금했다"라고 말하는 겁니다. 독일 선사가 보내준 인보이스와 송금증을 받아보니 우리 회사 계좌가 홍콩 계좌로 바뀐 것을 보고 가슴이 철렁했지요.

Q2) 이후 어떻게 조치하셨고 왜 독일 선사와 분쟁이 발생했나요?

A2) 일단, 독일 선사에 연락해서 거래은행에서 해당 대금이 빠져나갔는지 문의했습니다. 선사 측 거래은행에서는 인보이스상 우리 회사명과 해커가 바꿔치기한 계좌정보 내 사명이 달랐지만 해당 대금은 송금됐다고 확인해줬습니다. 선사 측은 정보 보안업체와 시스템을 점검했고 저희도 이메일 로그인 기록을 추적한 결과 해킹 사실을 알게 됐습니다. 우리 회사 이메일이 해킹됐다는 점에서는 책임을 통감했습니다. 하지만 독일 선사가 계좌변경을 처음 인지했을 때 이미 해킹된 메일로만 진위여부를 확인했다는 점, 독일 선사 측이 우리 회사가 해킹 이후에 정상적으로 보낸 인보이스를 정확히 확인하지 않고 대금을 송금했다는 점에서는 억울함이 컸습니다. 그렇게 오송금 사건이 있고 한 달 정도 지나서 독일 선사와의 갈등이 계속되는 가운데 KOTRA 함부르크 무역관에 도움을 요청하게 됐습니다. 다행히 KOTRA 함부르크 무역관의 교신 지원 속에 선사와 원만히 합의해 회사의 손실을 줄일 수 있었습니다.

Q3) 향후에는 해킹 위험에 어떻게 대비할 계획이신가요?
A3) 사태의 발단이 이메일 계정 해킹이었던 만큼 이메일 보안관리를 보다 철저히할 예정입니다. 회사 메일 주소도 변경하는 동시에 정보보안에 관심을 기울이고 관련 컨설팅도 고려 중입니다. 지금까지 이런 사례가 없었고 또한 중소기업이다 보니 정보보안에 투자할 여력도 부족했지만 이번을 계기로 많은 것을 배웠습니다. 무엇보다도 외국 거래처와 연락 시 이메일에 의존하는 게 매우 위험부담이 크다는 점을 느꼈습니다. 향후에는 인보이스같이 중요서류를 보낼 때 팩스를 적극 활용해서 이중으로 확인하고 특히 거래처와 대금 송금 전후로 계좌정보를 재차 확인하는 작업을 필수적으로 거치려 합니다.

이메일 보안관리와 함께 연락 채널 다변화로 안전장치 마련 필요

이메일은 신속∙편리하며 교신 내역이 자동으로 저장되므로 기업 간 거래 시 널리 활용된다. 특히 독일 등 유럽 기업과 거래할 때 시차와 언어적 장벽으로 인해 이메일 의존도가 더욱 높아지게 된다. 또한 객관적인 교신기록 확보를 매우 중요하게 생각하는 유럽 기업들이 이메일 연락을 강조하는 경우가 다반사라 우리 기업이 이메일에 의존하게 되는 경향이 심화된다.

하지만 이번 무역사기 건에서 살펴볼 수 있듯이 이메일 일변도의 의사소통은 큰 피해를 야기할 수 있다. 따라서 외국 거래처와 연락 시 번거롭더라도 해킹 위험이 늘 도사리는 이메일 외에도 PC가 아닌 연락 채널을 가동해야 한다. 예를 들어 언어적 장벽으로 전화를 주저한다면 이메일 외에 팩스로도 서류를 이중으로 보낸 후 전화나 영상통화로 거래처에 간단히 수신 여부를 확인하면 된다. 특히 대금 송금 전후로는 이메일 외의 연락 채널로 양사가 계좌정보를 재차 확인하는 것이 중요하다. 동시에 평소 이메일 보안관리에 만전을 기한다면 무역사기 발생위험을 현저히 낮출 수 있다.

해외 업체와의 연락 채널 운용대책

구분
대책
이메일 외 연락 채널
(PC 외 통신수단)
ㅇ 팩스, 특급우편, 전화, 영상통화 등 적극 활용
- 인보이스 등 중요 서류는 이메일 외에도 팩스, 특급우편 등으로 반드시 이중 송부 후 전화나 영상통화로 거래처의 서류 수취 여부 확인

① 이메일과 이메일 외 수단으로 전달된 계좌정보가 상이할 시 송금 금지

② 대금 송금 전후 양사 간 계좌정보를 최종 확인하고 송금 전후로 유선을 통해 즉각 통보
③ 거래처와 계약단계에서 계좌변경을 원천 불가능하게 하거나 지극히 예외적인 경우로 한정하고 수취계좌 변경 시 양사가 취해야 할 행동절차를 사전에 논의
· 상기 절차 미준수 시 책임분담에 관한 내용을 특약사항으로 명문화하는 것도 고려

이메일
① 주기적인 비밀번호 변경 및 로그인 이력 확인
· 해외 로그인 차단 기능도 활용 고려
② 문자(SMS), 모바일 OTP 등을 활용한 2단계 인증 로그인 실시

③ 의심스러운 이메일, 특히 첨부파일 열람 금지(스피어피싱 방지)
④ 최신 보안프로그램으로 업무 PC 관리
⑤ 중소기업 정보보호 컨설팅 활용(한국인터넷진흥원 제공)
(https://www.boho.or.kr/webprotect/msConsulting.do)
자료: KOTRA, 한국인터넷진흥원(KISA)

이메일 무역사기 발생 시 최대한 빨리 거래은행에 지급 정지를 요청하고 경찰청 사이버안전국(☎182)과 한국인터넷진흥원의 인터넷 보호나라(☎118)에 신고해야 한다. 하지만 해킹 사실을 알아차렸을 때는 대금이 이미 해커의 손에 넘어간 경우가 많고 이메일 무역사기는 국내외에 걸쳐 범죄가 발생하므로 실질적인 피해 구제가 어려운 측면이 있다. 따라서 상기 대책을 활용해 사태를 미연에 방지하는 것이 최선이며, 사태가 발생했다면 거래처와의 분쟁에 대비해 객관적인 진행일지를 작성하는 것이 중요하다.

시사점


이메일 무역사기는 거래당사자인 바이어와 셀러 모두가 피해자이지만 이를 해결하기란 현실적으로 쉽지 않다. 특히 정보보호에 투입할 재원이 한정적이고 별도의 IT 부서를 운영하기 힘든 중소기업들은 해커의 주요 타깃이 되기 쉽다. 무엇보다도 안타까운 점은 이러한 일회성 사건으로 수년간 공들여 형성한 거래처와의 신뢰가 단 한 번에 깨질 수 있다는 점이다.

코로나19로 많은 중소기업이 어려움을 겪고 있다. 이런 때일수록 신규 거래처 발굴 못지않게 기존 거래처와의 관계를 잘 이어나가는 것이 매우 중요하다. 수출입 거래 시 이메일 외에 다른 연락 채널도 적극 활용해 해커로부터 우리 자신과 우리의 소중한 사업파트너를 함께 지켜나가자.


자료: KOTRA, 한국인터넷진흥원(KISA) 및 KOTRA 함부르크 무역관 보유자료 종합