디지털문서의 최대 수혜 산업군 가운데 하나는 무역 분야일 것이다. 신용장, 인보이스 등 무역 관련 서류를 디지털 문서로 편리하게 주고받을 수 있게 되면서 거래 당사자 간 정보교환, 물류, 운송, 통관 등에 소요되는 무역비가 10년 전과 비교하여 15% 이상 절감되는 효과를 가져왔다. 물론 현장에서 체감하는 효과는 수치 이상일 것이다.
언제나 그렇듯이 디지털전환의 편리함 이면에는 디지털로부터 초래하는 위험성이 있다. 무역 관련 이메일 업무 비중이 높아짐에 따라 '기업 이메일 침해'(BEC; Business Email Compromise) 공격이 심각한 위협으로 떠오르고 있다.
2022년 미국 FBI가 발표한 자료에 따르면 2016~2021년에 BEC 공격으로 말미암은 전 세계 기업의 피해액은 430억달러이며, 미국 내 신고 건만 24만건이 넘는다. 한국 역시 2016~2021년에 발생한 무역 사기 가운데 BEC 사기 공격은 28%로, 전체 무역 사기 수법 가운데 4분의 1 이상을 차지한다.
BEC 사기를 당한 국내 기업 A의 사례를 보자. 중소기업 A사는 지난 2월 한국에 정박하고 있던 독일 소속 선박에 기자재와 유지·보수 서비스를 제공한 후 약 2만7000달러의 대금을 받지 못했다. 해커가 A사 이메일을 해킹해서 인보이스 내 계좌정보를 위조했고, 독일 선사는 이미 3월 중순에 바꿔치기한 홍콩 계좌로 대금을 송금한 상황이었다. 독일 선사는 계좌 변경을 통보받았을 때 이상한 낌새를 알아챘겠지만 A사 이메일 주소가 동일했기 때문에 의심의 끈을 놓은 것이다.
BEC 공격이 심각한 이유는 해커가 거래 기업 간에 주고받는 이메일을 오랫동안 지켜보다가 결정적인 순간에 계약서나 인보이스 등 서류상의 계좌번호를 조작해서 대금을 가로챈다는 점이다. 그 이후 송금증마저도 위조해서 송부, 무역 사기임을 인지하지 못하게 한다.
이렇듯 서류만으로는 기업이 이메일 침해 공격을 받았는지도 모른 채 시간을 보내는 경우도 허다하다. BEC 공격은 국가나 기업 규모에 무관하게 대상이 될 수 있으며, 여타 무역 사기와는 달리 최소 3개국 이상을 경유하며 발생하는 경우가 많아서 해결을 위해서는 국제사법 공조가 요구되는 등 사후 처리도 쉽지 않은 디지털 범죄다.
이를 예방하기 위해서는 이메일 이외 수단, 즉 전화나 팩스 등 이메일 이외 연락 수단을 통해 이중으로 수신 여부를 체크하는 등의 예방 조치가 필요하다. 하지만 이메일 사기 공격, 서류 위조 등 디지털 범죄의 원적적 예방을 위해서는 안전장치 역시 디지털화하는 것이 가장 현명한 방법이다.
종이문서에 사용하던 신원 확인 수단, 의사표시, 간인, 공증 등 기능이 디지털로 구현되고 있다. 신원 확인을 위한 인증서와 디지털 서명을 통해 문서의 생산자, 서명자의 신원은 물론 서명 시각과 위치까지 확인할 수 있다. 이를 통해 문서의 위·변조 여부, 거래 사실 부인까지 확인할 수 있다.
디지털 문서 시대에는 소를 잃는 경우 외양간을 고치는 비용이 기하급수적으로 늘어나거나 고치기가 불가할 수도 있을 것이다. 그만큼 디지털 위험관리 요소에 대비가 중요한 시점이라 할 수 있다.
전귀선 한국기업보안 대표 jgs@korsec.co.kr