중소기업의 이메일을 해킹해 거래내역을 빼낸 뒤 사기계좌로 무역대금 송금을 요청하는 신종 금융사기 수법이 등장해 주의가 요구된다.

금융감독원은 최근 중소기업 이메일 해킹을 통해 거래내역 등을 파악한 뒤 거래처 등을 사칭해 무역대금 송금을 요구하는 '스피어피싱(Spear-phishing)' 범죄가 잇따르고 있다고 4일 밝혔다.

'스피어피싱(Spear-phishing)'은 특정인의 정보를 캐내기 위한 피싱 공격을 지칭하는 용어로 작살낚시(spearfishing)를 빗댄 표현이며, 불특정 다수의 개인정보를 빼내는 기존 피싱(Phishing)과 달리 특정인(기업)을 공격 목표로 삼는다.

주요 유형으로는 공격 목표(중소기업 등)가 사용하는 이메일 해킹, 악성코드를 첨부한 이메일 전송 등이 있다.

사기범들은 국내수출업자나 수입업자가 사용하는 이메일 해킹을 통해 계정정보를 빼내 거래내역 등을 파악한 후 사기계좌(주로 해외계좌)로 송금을 요청하는 이메일을 송부하는 수법을 쓰고 있다.

스피어피싱은 거래이력이 있는 기업이나 지인을 가장해 송금 등을 요청하므로 전화, Fax 등을 통해 사실여부를 확인하기 전에는 범죄여부를 파악하기가 곤란한데다 피해를 인지하는 시점이 늦기 때문에 피해금액 회수가 사실상 불가능하다고 금감원은 설명했다.

금감원은 송금을 요청하는 이메일을 받았을 경우 수출업자는 사전에 입금계좌번호, 예금자명 등 거래대금 결제와 관련한 주요정보를 전화나 Fax로 재확인해야 한다고 당부했다.

또 이메일의 비밀번호는 수시로 변경하고 해외IP의 로그인차단 기능을 설정해 대비를 철저히 할 필요가 있다고 강조했다.

금감원 관계자는 "사기범은 나이지리아나 필리핀 등 사이버 범죄에 대한 처벌이 쉽지 않은 국가에서 사기메일을 주로 발송하는 것으로 알려지고 있다"면서 "해외수출업자로부터 입금계좌 변경내용이 포함된 이메일을 받았을 경우 반드시 전화나 Fax 등의 방법으로 진위여부를 확인해야 한다"고 밝혔다.