버지니아주 센터빌에서 5년째 유통업을 해온 박 사장은 거래처로부터 “은행 계좌가 변경됐으니 이번 결제는 새 계좌로 보내 달라”는 이메일을 받았다. 별 의심 없이 ＄18,000을 송금했는데, 며칠 후 거래처에서 연락이 왔다. 대금을 못 받았다는 것이었다. 사기꾼이 거래처 이메일 주소에서 알파벳 하나만 바꿔 완벽하게 흉내 낸 가짜 이메일이었다. 돈은 이미 사라진 뒤였다. 소셜 엔지니어링 사기(Social Engineering Fraud)라는 이메일을 이용한 범죄로 해킹이나 바이러스가 아니라, 사람의 신뢰를 이용해 돈을 가로채는 21세기형 사기다. FBI에 따르면 2013년부터 2022년까지 미국에서만 이 수법으로 137,601명이 피해를 입었고, 피해액은 무려 ＄173억에 달한다. AI의 등장으로 사기 범죄는 더욱 정교해졌다. 한국어를 한마디도 못하는 해커도 AI 번역으로 완벽한 한국어 피싱 메일을 보내고, 딥페이크 기술로 지인의 목소리를 복제해 전화 한 통으로 송금을 유도한다.

한인 비즈니스는 더 위험하다. 왜냐하면…

메릴랜드 락빌의 한인 교회, 페어팩스의 뷰티 서플라이, 게이더스버그의 세탁소 등 업종과 규모를 불문하고 이메일로 돈 거래를 하는 모든 사업체가 사기범들의 표적이다. 특히 직원이 적고 결제 확인 절차가 느슨한 소규모 사업체, 영어 이메일의 미묘한 차이를 놓치기 쉬운 한인 자영업자는 사기꾼들이 선호하는 대상이다.

대표적인 공격 수법은;
① 이메일 주소 한 글자 바꾸기-l을 1로, O를 0으로 바꿔 정상 거래처처럼 위장한 뒤 계좌 변경을 요청
② 임원 사칭-대표나 CFO의 이메일 계정을 해킹해 직원에게 “긴급 송금이 필요하니 비밀을 알려 달라”고 지시
③ AI 딥페이크 전화 사기 - 지인의 목소리를 AI로 복제해 긴급 자금 이체를 요청. 놀라울 정도로 완벽하고 자연스러운 한국어를 구사하기에 속는지 모르고 속게된다.

일반 비즈니스 보험으로는 보상받지 못한다

“내 사업체 보험이 있으니 괜찮겠지”라고 생각하면 오산이다. 일반 비즈니스 보험(BOP)은 사기 피해를 보장하지 않는다. 소셜 엔지니어링 사기 피해는 반드시 크라임 보험(Crime Insurance)에 소셜 엔지니어링 사기 특약이 별도로 포함되어야 보상이 가능하다. 크라임 보험이 아우르는 주요 보장 항목은 다음과 같다.

•직원 횡령(Employee Theft)-직원이 회사 자산을 빼돌리는 경우
•자금 이체 사기(Funds Transfer Fraud)- 은행을 사칭해 계좌에서 돈을 빼가는 경우
•소셜 엔지니어링 사기-거래처·임원 사칭으로 송금을 유도하는 경우 (특약 추가 필요)
•컴퓨터 사기(Computer Crime)-해킹으로 인한 금전 손실 및 데이터 복구 비용
•통신 사기(Telecommunications Fraud)-회사 전화 시스템을 무단 사용해 막대한 요금을 발생시키는 경우

소셜 엔지니어링 사기, 이렇게 막자

크라임 보험(Crime Insurance) 가입과 함께 아래 다섯 가지를 지키면 피해 위험을 크게 줄일 수 있다.

① 계좌 변경 요청은 반드시 전화(이메일 속 번호가 아닌, 평소 알던 번호)로 재확인
② 이메일 주소를 꼼꼼히 확인(단 한 글자 차이가 수만 달러 손실로 이어진다)
③ 긴급·비밀 요청은 의심부터(서두르게 만들거나 상사에게 알리지 말라는 요청은 사기의 전형적인 신호다)
④ 일정 금액 이상 송금은 두 사람 이상 승인(내부 절차 하나가 큰 피해를 막는다)
⑤ 직원 교육 정기 실시(사기 이메일 판별법을 주기적으로 공유한다)

“설마 나한테”라는 그 방심이 사기꾼이 노리는 틈새다. 지금 바로 담당 에이전트에게 연락해 현재 보험에 소셜 엔지니어링 사기 대책이 포함되어 있는지 확인하자.
문의 1-866-915-6664
703-642-2225

<강고은 옴니화재 대표>