수출대금 미회수위험을 담보하는 무역보험에 가입하고 선적까지 마쳤으나 무역사기를 당해서 손실이 발생한 사례를 각색해서 소개드린다. 

이 사례를 타산지석으로 삼아 무역사기를 당하고 무역보험공사에 보험금 청구를 하는 일이 더 이상 발생하지 않기를 바란다.

그런데 수출자가 무역사기를 당하면 무보는 보험금을 지급할까?

요즘 도시인의 일거수일투족은 CCTV가 지켜보고 있다. 여기에 차량 블랙박스까지 더하면 감시망을 피해갈 도리가 없다. 

이메일도 그렇다. 내 PC와 휴대폰에는 해킹 앱이 깔려 있을 수 있고, 해커가 내 이메일을 들여다보는 것도 어려운 일이 아니다. 이메일 사용 시에는 해커도 함께 보고 있을 수 있다는 점을 상기할 필요가 있다.

▲아이클릭아트 제공

[이메일 해킹 사례1] 해커는 당신의 이메일을 들여다보고 있다

무역사기의 재구성

#1. 

때는 2022년 5월 초. 일렉트사의 김 사장은 자신의 사무실로 돌아가는 중이다. 

생각만 해도 가슴이 벅차오른다. 오늘 저녁에는 집에서 간단한 축하 파티를 벌일 생각이다. 힘겹게 수출을 시작해서 겨우 그 달콤한 맛을 보려는 찰나 코로나19가 순식간에 퍼져서 지난 2년간 사무실에 처박혀 있어야 했다. 

그러다가 올해 초 KOTRA를 통해서 중국 바이어를 발굴하고 온라인으로 수출 협상을 진행해오다가 3월부터 오늘까지 3차례에 걸쳐 전기부품 100만 달러어치를 수출했기 때문이다. 

왜 진작 온라인 거래를 생각하지 못했을까? 바이어와 대면 없이 온라인으로만 수출하게 된 것이 신기하기만 하다. 

#2. 

장면이 바뀌어 여기는 2022년 5월 중동의 한 사무실. F가 회심의 미소를 짓고 있다. 코로나19 때문에 다들 힘들어하는데 자신에게는 더할 나위 없는 기회가 왔기 때문이다. 

이제 대부분의 거래가 수출입자 간 비대면 온라인으로 진행되다 보니 무역 대금을 가로채기가 훨씬 수월해졌다. 거의 모든 정보교환과 협상이 이메일로 이루어지기 때문이다. 자신의 인내력이 대견하게 생각된다. 

수출입자 PC에 해킹을 위한 악성 바이러스를 심어놓고 무려 3개월이나 수출입자 간의 이메일을 지켜보면서 결정적인 순간을 기다려왔으니 말이다.

이틀 전 3차분 선적이 완료되었으니 이제 작업을 개시할 시간이다. 

F는 수출자 이메일 계정으로 로그인해서 수입자에게 결제계좌 변경 사실을 통보한다. 자사의 한국 내 원화 계좌가 동결되었으니 중동 해외지사의 은행 계좌로 대금을 입금해 달라고 요청한다. 이제 남은 일은 수입자가 속아 넘어가는 것뿐이다.

#3. 

여기는 중국의 한 사무실. 임포트사의 S 사장은 요 며칠 정신이 없었다. 빠듯해진 자금사정 탓이다. 

수입 물품을 가까스로 판매해서 어렵사리 수입 결제자금을 마련할 수 있었다. 일렉트사 김 사장에게 기쁜 소식 전하려고 이메일에 로그인하니 벌써 일렉트사의 이메일이 도착해 있다. 결제계좌를 중동 소재 해외지사 계좌로 변경했으니 변경된 계좌로 송금해 달라는 요청이다. 

며칠 전부터 자금 사정이 안 좋다고 하더니 한국 계좌가 동결된 걸보니 엄살이 아닌가 보다. 이참에 좋은 일 하자 싶어 S사장은 원래의 결제만기보다 20여 일이나 앞당겨서 송금을 한다. 

#4. 

7월 초. 다시 여기는 중동의 F 사무실. F는 믿을 수가 없다. 원래의 결제 만기까지는 20여 일이나 남았는데 임포트사 S사장이 벌써 자신의 계좌로 송금해 준 것이다. 

해킹해서 수출자 이메일 계정에 로그인할 때마다 조마조마해서, 두 번째부터는 수입자에게 수출자 이메일 계정이 아닌 유사 이메일 주소로 보냈는데도 눈치 없는 수입자는 알아채지 못하고 있다. 

몇 번 이메일이 오고 간 후에는 수입자가 상대의 이메일 주소는 아예 들여다보지도 않는 듯하다. 해킹 사기가 모두 성공하는 것도 아닌데 이 건은 꼼꼼하지 못한 수입자 덕분에 수월하게 풀렸다.

#5. 

7월 중순. 여기는 한국의 일렉트사 사무실. 벌써 1주일 전에 첫 번째 선적 건에 대한 수출대금이 들어와야 하는데 아직도 감감무소식이다. 

그동안은 S사장이 언짢아할까 봐 독촉을 못 했는데 더 이상 기다릴 수가 없다. 최대한 공손하게 수출대금 입금을 요청하는 이메일을 보낸다.

#6. 

임포트사 사무실. 수출자 김 사장이 말도 안 되는 소리를 한다. 돈을 보낸 지가 언젠데 아직까지 못 받았다는 걸까? 

S사장은 송금 증빙을 김 사장에게 이메일로 송부한다.

#7. 

김 사장은 S 사장에게 결제계좌 변경 요청을 한 적이 없다고 항변하고, 이 과정에서 김 사장과 S 사장은 해킹 사기가 있었음을 깨닫게 된다. 김 사장은 며칠 뒤 경찰서에 해킹 사실을 신고하고, 이어 무역보험공사에 보험사고 통지를 한다.

이상이 실제 사례를 각색한 이메일 해킹 사기 과정이다. 과연 김 사장은 무역보험을 통해서 구제 받을 수 있을까?

이메일 유사변조

해커는 범죄 초기에만 수출자 이메일에 로그인하고, 이후에는 해킹이 들통날 것을 우려해서 수출자 이메일 도메인과 유사한 이메일 주소를 사용한다. 

즉 abkim@abc.co.kr이라는 수출자 이메일 도메인 대신 abkim.abc.co.kr@def.com이라는 유사 주소를 사용해서 수입자를 속게 만든다. 

해커는 수출자에게도 수입자 이메일과 유사한 이메일 주소로 이메일을 보내기도 한다. 

누구의 과실인가

이메일 해킹 사고 발생 시에는 수출자와 수입자 중 누구의 과실로 이메일이 해킹되었는지를 가리는 것이 중요하다. 

명백히 수출자의 서버 혹은 이메일이 해킹당해서 사고가 발생했음이 객관적으로 확인된 경우에는 수출자의 관리책임 부주의로 보아 무역보험 보험금이 지급되지 않을 수 있다. 

반면에 수입자 측의 과실로 해킹을 당한 경우라면 무보는 수출자에게 해킹으로 인한 손실을 보상하고 수입자를 상대로 채권회수 절차를 진행하게 된다. 

문제는 소재국이 서로 상이한 국제거래에서 이런 해킹 사고의 경우 어느 측의 과실인지 가리기가 쉽지 않다는 점이다. 수출자는 수입자의 과실이니 수출대금을 결제하라고 요구하고, 수입자는 수출자의 이메일이 도용당한 경우이니 수출자의 과실이어서 추가적으로 수출자에게 송금할 수 없다고 주장한다. 

무역보험 보상 여부

해커가 통보한 변경된 결제계좌가 수출자의 소재국인 한국이 아니라 중동 소재 은행인데도 수입자가 수출자 앞 추가 확인 없이 해커에게 송금한 점을 수입자의 과실로 판단해서 무보는 본 건에 대해 수출자에게 손실을 보상하였다. 

해커가 수입자에게 송금을 요청하면서 보낸 계약서 사본과 계좌변경 통보문이 기존에 수출자가 사용하던 양식과 다르고 허술했다는 점도 수입자의 부주의로 판단하는 요인 중 하나였다.

[이메일 해킹 사례2] 유사 이메일 도메인으로 수출입자 속이다

무역업체인 A사는 유럽 수입자 B사와 2021년 10월부터 1년 동안 10여 회 거래를 지속해 오고 있다. 그러던 중 2022년 중순에 선적한 60만 달러어치가 미결제되어 무역보험 사고가 발생한다.

미결제 사유는 사례1과 동일하게 해커가 보낸 이메일에 기만당한 수입자가 해커 계좌로 송금하면서 수출자 앞으로는 대금이 결제되지 못한 것이다. 

결제기일이 지난 후 수출자가 수입자 앞으로 결제를 독촉하는 이메일을 보내고, 해커가 곧바로 수입자에게 수출자를 사칭하며 위조계좌로 송금을 요청하는 이메일을 보낸다. 

즉 해커가 그동안 수출입자 간의 이메일을 지켜보고 있다가 결정적인 순간에 끼어든 것이다. 이에 수입자는 해커 계좌로 대금을 송금한다. 

이후 해킹 사실을 인지한 수출입자는 서로 해결책을 모색하게 되고, 수입자는 수출자와 수입가가 각각 50%씩 분담하는 방안을 제안한 후 30만 달러를 수출자 계좌로 송금한다. 

수출자는 수입자의 제안에 동의한 바 없다고 주장하며 무역보험공사에 보험금을 청구한다.

그리고 앞서와 마찬가지로 수출자는 해킹 사고 발생 이후 수출자 지사가 소재한 독일 경찰에 해킹 신고를 한다. 

사례1에서 해커가 수출자의 이메일 비밀번호로 로그인해서 수출자의 이메일 주소를 사용한 것과는 달리, 사례2에서 해커는 수출자 및 수입자의 이메일 주소와 매우 흡사한 도메인을 사용해서 수출자와 수입자 모두를 기만한다. 즉 수출자 이메일 도메인 @abcglobal.com 대신 @abcgl0bal.com으로 영문자 ‘o’ 대신 숫자 ‘0’를 사용해서 수입자를 속아 넘어가게 하고, 마찬가지로 수입자 이메일 도메인 @def.plan.uk 대신에 @defplan-uk.com을 사용해서 수출자를 기만한다.

수입자가 유사 이메일 도메인에 속아 넘어간 것이므로 수출자의 귀책은 없다고 보아 무보는 수출자의 손실에 대해 보상을 한다. 그럼에도 수입자는 수출입자 모두에게 과실이 있으니 자신은 50%의 책임만 지겠다고 주장하고 있다. 

무역사기에 대한 무역보험 보상 판단 기준

무역사기를 당해서 무역보험공사에 보상을 청구하는 건은 대체로 사기꾼이 수입자를 사칭해서 수출물품을 편취하는 ‘명의도용 사기’와 해커가 수출입자의 PC나 휴대폰을 해킹하고 수출자의 이메일 비밀번호를 탈취해서 로그인하거나 유사 이메일 도메인을 사용해서 수입자가 속아서 해커 계좌로 대금을 송금하는 ‘이메일 해킹 사례’가 주류를 이룬다. 

(명의도용 사기 보상 여부) 이 중 수입자를 사칭해서 수출품을 가로채는 명의도용 건에 대해서 무보는 단 1건도 보상하지 않고 모두 면책처리 했다. 그 이유는 속아 넘어간 것이 수출자이고 수입자는 아무런 귀책이 없었다고 보았기 때문이다. 

즉 수출자가 수입자 ABC와 수출계약을 체결하고 물건을 사기꾼 ABC'에게 보냈으니 수입자에게 책임을 묻기가 어려운 것이다. 

그러니 앞서 설명드린 무역사기 예방법을 숙지해서 사기를 당하는 일이 없도록 해야 한다. 

진성 수입자 주소지와 거래 상대가 요청하는 물품 도착항이 상이한 국가에 소재하고 있다면 의심해 보아야 한다. 거래 상대가 알려주는 수입자 홈페이지가 허술한 경우에도 의심해 보아야 한다.

(이메일 해킹 사기 보상 여부) 수입자가 해커에게 속아서 해커 계좌로 송금하는 경우이니 명백히 수출자 귀책이라는 증거가 없는 한 무보는 대체로 수출자의 손실을 보상하는 편이다. 일반적으로 속아 넘어가는 측에 귀책이 있다고 보기 때문이다. 

다만, 무보는 해킹 사고에 대해서 보상 심사를 진행하기 전에 경찰에 해킹 사고 신고를 먼저 하도록 하고 있는데, 경찰 조사 결과 수출자의 귀책으로 수출자의 이메일 계정이 해킹당해서 손실이 발생한 것이 명백한 경우에는 보험자 면책으로 보상이 안 될 수도 있다.

그러니 앞서 설명드린 바와 같이 수입자와의 이메일 교신 시에는 될 수 있는 한 회사 공식 이메일을 사용하고 회사 이메일 서버와 비밀번호 등에 대한 보안을 강화해야 한다. 이메일 비밀번호는 수시로 변경하는 것이 좋다. 

근본적으로는 수출계약서나 교신하는 이메일 등에 ‘수출자는 절대로 대금 결제계좌를 바꾸지 않는다’라는 점을 명시해서 수입자가 해커에게 속아 넘어가는 일을 미연에 방지하는 것이 바람직하다.

오주현

한국무역보험공사 전문위원

happyojh@gmail.com