올해 상반기 동안 해킹으로 인해 정보 도난 피해를 신고한 세금 보고 대행 업체의 수는 177개로, 업체들의 개인 정보 보호에 대해 각별한 주의가 요구된다.

6일 연방국세청(IRS)에 따르면, 지난 1월~5월까지 고객 정보를 도난당했다며 신고한 회계사와 회계법인 등 세금 보고 대행업체의 수는 177개에 이른다.

특히 이들 세금 보고 대행 업체로부터 신고된 고객 정보 도난 신고 건수는 매주 평균 3-5건으로, 한 법인 또는 회계사가 관리 중인 납세자 정보가 상당수라는 것을 감안하면, 유출로 인한 피해자의 수는 수천명에 이를 것으로 IRS는 보고 있다.

존 코스키넌 IRS 커미셔너는 “국내 뿐 아니라 국외 사이버 범죄 집단의 타겟이 돼 피해를 입는 경우가 점점 증가하고 있다고 대행 업체 등 세금 관련 전문가들에게 지속적으로 경고를 해왔다”며 “이들 범죄 카르텔의 조직들은 자금줄이 탄탄하고 전문 지식을 갖추고 있는데다 수법이 창의적이기 때문에 개인 정보 유출 범죄와 싸우기 위해 더욱 주의를 기울여야 한다”고 말했다. 이어 “납세자의 정보를 담당하고 있다면, 이들 정보를 보호할 법적 책임을 지고 있기 때문에 아무것도 하지 않거나 최소한의 대처로 대응해서는 안된다”고 덧붙였다.

사기범들은 세금 보고 대행 업체들에 보통 링크나 첨부 파일을 포함한 이메일을 보내 이를 열게 하거나, 유저 네임이나 비밀번호를 노출하게 유도하는 수법을 사용하고 있다. 이를 통해 전자 세금 보고 ID(EFINs) 또는 텍스ID번호(PTINs) 등의 정보를 알아낸 후 시스템에 접근, 보관중인 납세자의 정보를 빼내는 것.

이에 앞서 2016년에도 개인 정보를 노출하도록 피해자를 낚는 ‘피싱(Phishing)’사기를 통한 개인 정보 도난 사건이 급증한 것으로 나타났다. 사이버 범죄 예방을 위한 비영리 단체인, 안티 피싱 워크 그룹(APWG)에 따르면, 2016년 한해 동안 이루어진 피싱 공격은 10만건에 이른다. 이는 전년인 2015년 대비 65% 증가한 수치다.

현재 매달 발생하는 평균 피싱 공격 수는 약 10만건이다. 매달 피싱 9만2,564 건의 피싱 공격이 이루어지고 있는 것. 이는 12년 전에 비해 5,753%, 약 60배 증가한 수치다. 피싱 공격은 대부분 이메일을 통해 이루어지는 것으로, 공격 한건 당 피해를 입을수 있는 이메일의 수는 수백만개에 달한다.

피싱오그(Phishing.org) 역시, 매일 발송되는 스팸 이메일의 수는 1000억개에 달하며, 정부 기관, 단체 등 중 85%가 이들 이메일을 통 피싱 공격의 대상이 되고 있다고 지적했다. 또한 피해 액수도 10억달러를 넘어선다고 전했다.

버라이즌도 최근 연례 사기 피해 데이터를 통해, 평균 14명 중 한명이 피싱 이메일에 첨부된 링크를 열거나, 파일을 열어 피해를 입고 있으며 이들 피해자 중 4분의 1은 두 번 이상 피해를 입고 있다고 발표했다.

피싱 공격이 성공을 거두는 경우 중 95%는 데이터를 빼내거나, 시스템을 컨트롤 할 수 있도록 악성 코드(Malware)를 심는 방식으로 이루어졌다.

한편 IRS는 11일 플로리다 올란도에서 ‘IRS 전국 택스 포럼’의 막을 올리며 10주 일정의 개인 정보 도난 방지 캠페인, ‘미끼를 물지마(Don't Take The Bait) 캠페인을 펼친다.

<최희은 기자>