한국 첫 사례… 공공기관이 이메일 피싱에 속아 거액을 송금하는 일이 벌어졌다

445

중소벤처기업부 산하 창업진흥원(창진원)이 피싱(통신 사기)범죄를 당했다. 정부 공공기관이 피싱에 속아 직접 송금까지 한 사례는 이번이 처음이다.

창업진흥원 로고 / 뉴스1

13일 창진원에 따르면 지난달 ‘K-스타트업 센터’ 사업을 진행하는 과정에서 선금(50%) 13만 5000달러 (약 1억 7500만 원)을 피싱범 계좌에 송금했다. 해당 사업은 201개 스타트업의 해외 진출을 돕는 데 2989억 원을 투자한 대규모 프로젝트다.

창진원은 사업 진행을 위해 올해 초부터 유럽계 스타트업 액셀러레이터인 ‘레인메이킹’과 접촉했다.

이 과정에서 창진원은 레인메이킹 측으로부터 이메일을 통해 국내 스타트업의 해외 시장진출 및 현지화 지원, 스타트업에 대한 글로벌 투자 유치 및 금융 지원, 스타트업 육성 프로그램 노하우 공유 등에서 지원받기로 했다. 계약 금액은 27만 달러(약 3억 5000만 원)였다.

사건이 터진 건 6월 말이다. 레인메이킹 측은 이메일로 “HSBC 은행 계좌로 선금을 송금해달라”고 요청했고, 창진원 담당자는 내부 승인을 거쳐 해당 계좌로 선금을 송금했다.

사이버 보안 관련 기사 이해를 돕기 위한 사진 / thinkhubstudio-shutterstock.com

그런데 한 달 뒤 레인메이킹 측으로부터 “선금을 왜 보내지 않느냐”는 연락을 받은 창진원은 뒤늦게 해당 메일이 피싱일 가능성이 있다는 것을 인지하고 경찰에 수사를 의뢰했다.

알고 보니 레인메이킹의 실제 이메일은 ‘.io’로 끝나는데, 피싱 메일은 ‘.com’으로 살짝 바뀐 유사 메일이었다.

정부 공공기관이 피싱을 당해 해외 단체에 직접 송금까지 한 사례는 처음으로 중기부도 비상이 걸렸다.

창진원 관계자는 “e-메일 송수신 내역을 훤히 들여다보다 중간에 자연스럽게 끼어들어 전혀 눈치챌 수 없었다”며 “거래 내역을 담은 인보이스(송장)까지 보내와 감쪽같이 속았다”고 해명했다.

문제는 거액을 송금하는 과정에서 대면으로 만나거나 전화 한 통 하지 않고 이메일로만 소통했다는 것. 또 한 달이 지나서야 외부 신고로 사건을 인지했다는 점에서 중기부도 사안을 심각하게 보고 있다.

창진원은 재발 방지를 위해 해외 송금 관련 확인 절차를 강화하고 해킹 대비 임직원 보안 교육을 실시할 계획이다.


+1
0
+1
0
+1
0
+1
0
+1
0