미국 지난 2018년 한 해 동안 $12억 탈취 당해
최근 추세 : 해킹 -> 인간의 심성을 이용하는 ‘사회공학’적 접근
쉽게 거액을 탈취할 수 있다는 그릇된 욕망이 범죄 부추겨
<nc한국인뉴스 Young Lee>
랄리, 노스 캐롤라이나 =
노스 캐롤라이나 카라버스 카운티(샬롯 북동쪽 20여 마일 콩코드 일대) 교육국은 올 초 가짜이메일 사기로 $2,504,601을 탈취당했다.
사기범들은 카라버스 카운티에 새로 신축된 고등학교 건물 공사에 참여한 건설회사 이메일을 가로채 회계 담장 직원을 속였다.
카운티 교육국이 이를 뒤 늦게 알아차린 것은 이 건설회사가 교육국에 지불받지 못한 공사대금을 알리는 통지를 보내서였다. 카운티 직원은 즉각 언라인 송금 내용을 확인하고 한 달전에 지불한 것을 확인하고, 송금시 이용한 뱅크 어브 아메리카에 연락했다.
뱅크 어브 아메리카는 송금된 $2,504,601은 이미 여러 계좌로 분산되어 인출되었고, 이중 추적이 가능한 계좌로 인출된 $776,518은 동결시켰다. 나머지는 이미 회복 불능이었다.
수사는 현재도 진행중이다.
수사 기관에 의하면 사단은 2018년 11월 27일에 시작된 일련의 이메일로부터 시작되었다. 사기범들은 교육국 직원에 건설회사 이메일을 가로채 대표자를 가장했다.
이들은 진짜로 보이는 문서와 서명 승인된 문서를 이용해 건설회사의 은행 계좌 정보 가 업데이트되었다고 알렸다. 회사들의 은행 계좌 업데이트는 루틴한 것이라고 한다.
디지털 시대의 가장 큰 특징은 한치의 틀림도 없이 정확하게 가짜를 만들어 낼 수 있다는 것이다. 디지털 세계에서는 0과 1만이 존재하기 때문에 누구든 훔치고져 하는 정보의 0과 1을 알면 그대로 복사하여 가짜 정보를 만들면 된다.
모두 0과 1이란 부호로 되어 있다. 숫자는 그림(아나로그)과 달리 중간이 없다.
이것 아니면 저것이다.
0과 1만이 존재하는 세계에서 0아니면 1이지, 0보다 조금 큰 것 1에 가까운 것이란 개념이 성립되지 않는다.
디지털로 만들어진 것은 모두 완벽하게 정확하게 가짜를 만들어 낼 수 있다는 이야기다. 누군든지, 심지어는 어린 아이도, 0과 1을 입력할 수 있기 때문이다.
따라서 인터넷과 컴퓨터의 발달로 세상은 많이 편리해졌지만, 반면 악당들도 이제 편히 앉아서 수백억을 한 순간에 훔칠 수 있는 시대가 되었다. 이른바 “사이버 범죄 전성시대”가 되었다.
이들이 권총들고 개스 스테이션에 들어가 푼돈이나 강탈하는 얼간이를 보면 아마 “하수(下手) 중에 최 하수”라고 조롱할 것이다.
과거 처럼 복면을 하고 목숨을 거는 열차강도 같은 것을 할 필요가 없다. 현금 수송 열차 한 칸을 털어보았자 요즘 사이버 해킹으로 훔쳐내는 돈에 비하면 말 그대로 티끌에 불과하다.
최근 미국 뿐 아니라 전 세계에서는 가짜 이메일을 통한 사이버 범죄가 극성을 부리고 있다. 미연방수사국(FBI)에 의하면 이러한 유형의 피해액만 2018년에 $12억에 달했다고 한다.
2016년보다 3배나 증가하였다. FBI 인터넷 범죄 센터의 제임스 아봇 수사관은 “이건 우리에게 신고된 액수입니다.” 라고 말했다. 비신고 액수까지 합하면 얼마가 될지도 모른다고 한다.
일부 회사는 이미지 실추와 주가의 하락을 막기 위해 아예 신고안하는 경우도 있다고 한다. 이러한 기업의 소극적 대응은 사이버 범죄가 더욱 기승부리게 하고 있다고 한다. 개인도 다른 사정이 있어서 신고하지 않는 사례가 많다고 한다.
피해자들은 사기를 당하고 나서야 “어떻게 그런일이 나에게 일어났지?” 하면서 머리를 긁는다. 액수가 크면 자살까지 한다.
#최근의 큰 피해액 중 하나는 토요타 자동차의 한 자회사에서 발생한 사고이다. 피해액은 무려 $3700만이었다. 또 중장비 제조사인 미국의 카터필라의 영국 지점은 $1100만을 사기 당하기도 했다.
#사례 1:
시애틀에서 부동산 회사를 운영하는 마크는 최근 $5만을 사기 당했다.
사기의 시작은 사기범이 그가 비지니스 파트너와 주고 받는 이메일을 들여다 보면서 부터였다. 사기범은 바로 이메일 계정을 훔쳐 가짜 이메일을 만들지 않았다.
대신 야밤에 은신처에서 때가 오길 기다리며 숨어서 기다리는 프로페셔날 킬러처럼 결정적이 때를 기다렸다. 해커는 마크와 그의 비지니스 파트너가 주고받는 이메일을 계속 관찰하였다.
마침내 마크가 그의 파트너에게 $50,000을 송금해야 한다는 이야기가 나오자 사기범은 행동을 개시했다. 사기범은 파트너의 이메일을 가짜로 만들어 마크의 파트너 행세를 했다.
그리고 그가 통제할 수 있는 은행 계좌에 송금하라고 마크에게 이메일을 보냈다. 마크는 그 이메일이 가짜란 것을 알아 차릴 수 없었다. 문장 스타일이나, 문법, 이메일에 쓰는 회사 로고 등이 정확히 같았다. 전혀 의심이 가지 않았다.
마크는 송금했고, 한 참 후에 그의 파트너가 돈을 아직 송금받지 못했다고 알려왔을 때 그는 비로서 자기가 사기 당한 사실을 깨닫았다.
즉각 수사당국과 은행에 신고했으나 이미 늦었다. 범인들이 해외 계좌로 이미 돈을 반출한 뒤였다.
이러한 범죄는 최근 극성을 부리는 “비니니스 이메일 컴프로마이즈(business email compromise; BEC, 가짜이메일)” 라고 분류된 사이버 범죄의 한 유형이다. 사기범들이 주로 회사 직원에 가짜 이메일로 접근하여 사기 계좌로 송금하도록 유인하는 것이다.
2019년 부턴 다른 방향으로 진화 - 사람의 감성에 호소
지금까지 사기범들은 주로 이메일을 가짜로 만들거나 계좌 비밀 번호를 훔치거나 하는 방법으로 돈을 가로챘다. 즉 컴퓨터 기술을 이용한 기계공학적 해킹을 주로 사용했다.
그러나 최근엔 인간의 심리를 이용하는 ‘사회공학(social engineering)’ 접근을 최대한 활용한다고 한다. 사회공학이란 사람을 속여 필요한 정보를 빼내는 기술이다. 즉 이들은 컴퓨터 공학적으로 정교한 기술을 이용하는 것이 아니라 인간 관계 또는 인간의 심리적 취약성을 이용하는 것이다.
회사 이메일 시스템 보호를 전문으로 하고 있는 회사인 아가리(Agari)의 CEO인 패트릭 피터슨은 “가장 악랄한 기술이지요. 인간의 신뢰를 악용하고, 대화를 갈망하는 인간의 욕구를 이용하는 겁니다” 라고 말했다.
중간 돈 전달자 및 자금 세탁자
최근 미 FBI는 국제적인 BEC에 연루된 281명을 전 세계에 걸쳐 체포했다고 발표했다. 이중 74명이 미국내에서 체포되었다. 이들 중 상당수가 하부 조직의 심부름꾼 즉 ‘돈 전달자(money mule)’이었다.
이들 ‘돈 전달자’는 미국내 은행 계좌를 가지고 사이버 범죄자가 훔친 돈을 1차로 자기 계좌에 받는다. 미국 은행 계좌는 덜 의심받기 때문이다.
캘리포니아, 텍사스, 플로리다 등에서 ‘돈 전달자’의 변호사로 활동한 하산 변호사는 “이들(money mule)은 처음엔 자기 계좌에 오는 돈이 불법 범죄 자금인줄 모릅니다.
그저 정당한 돈으로 생각합니다. 예를 들어 가족 몰래 필요한 돈을 조용히 숨기는 것일 거라고 추정하지요” 라고 말했다. “그러다가 어느 시점에 그것이 불법인 범죄 수익인 것을 알아차림니다.”
많은 ‘돈 전달자’는 자기 계좌에 들어온 돈 중에 일부는 자기 수고비로 남겨 놓고 범죄자가 지시하는 다른 계좌로 송금한다.
하산 변호사에 의하면 이들 ‘돈 전달자’는 흔히 마지막 단계의 ‘로맨스 스캠’ 피해자인 경우가 많다고 한다.
로맨스 스캠(Romance scam)
‘로맨스 스캠(Romance scam)’ 피해자는 가짜 애정 표시에 속아 넘어가는 사람들이다. 주로 언라인에서 만나 발생한다. 범죄자들은 처음에는 돈을 빌려달라고 한다.
그리고 종국엔 돈세탁 범죄조직에 연루된다. 피해자가 뒤 늦게 깨닫고 벗어 나려고 하면 범죄자들은 “헤이, 난 네 사진을 갖고 있어. 넌 이제 우리 조직의 일부가 되었어” 라고 협박한다.
FBI 발표에 의하면 미국인은 지난 한 해에 ‘로맨스 스캠’으로 $3억6200만의 피해를 입었다고 한다. 직전 2017년에 비해 60%가 증가했다.
범죄조직은 인구조사적 방법을 통해 가장 취약한 사람을 ‘로맨스 스캠’ 대상으로 선정한다.
#사례 2:
한 피해자는 텍사스의 이혼여성이었다.
그녀는 사기범이 항상 무슨 말을 해야 하는지 알고 있는 것 같다고 말했다. “그냥 나를 위로하고, 북돋아 주고, 이해하였어요. 저를 아주 특별한 관심으로 생각해 주었지요. 지금까지 이렇게 나에게 친절한 사람은 없었어요.” 라고 말했다.
얼마후 그 사기범이 돈을 요구했을 때 그녀는 울었다.
사기인 줄 알았지만 돈을 보냈다. “머리 속에 두 가지 상념이 지배하고 있었어요. 친구들이 ‘너 미쳤다’고 했지요. 그러나 결국 돈을 보냈어요” 라고 말했다.
그녀는 3년에 걸쳐 $50만을 사기범에 송금했다.
그녀는 집도 잃고 이제 빚더미에 앉았다.
피해 예방 방법
거액의 송금을 이메일로 요청 받으면 반드시 요청자를 직접 방문하여 얼굴을 보고 말하거나, 전화를 하여 확인해야 한다. 이메일만 믿으면 안된다.
-
글쓴날 : [2019-12-04 08:03:42.0]
Copyrights ⓒ NC한국인뉴스 & nchankookinnews.com, 무단 전재 및 재배포 금지