회계사·세무사 등 세금보고 대행자를 타겟으로 하는 신종 이메일 피싱사기가 등장해 관련업계가 긴장하고 있다.

피싱은 사람들을 유인해 귀중한 개인정보나 금융정보를 제공하도록 부추기기 위해 합법적 사이트를 가장한 웹사이트나 사기성 이메일을 통해 수행되는 전형적인 사기방식이다.

지난 11일 연방국세청(IRS)에 따르면 사기범들은 세금보고용 소프트웨어 회사를 가장해 세금보고 대행자에게 웹사이트 링크가 담긴 이메일을 보내 수신자가 링크를 클릭하면 소프트웨어 업데이트를 설치할 것을 요구한다.

사기범들은 이메일에 적법한 사이트로 연결되는 것처럼 보이는 링크를 추가하는데 자세히 살펴보면 해당 링크는 실제로 그 이메일을 보낸 것으로 위장한 회사와는 아무런 관련이 없는 사이트로 연결된다. 이때 연결된 사이트가 위장한 회사의 웹사이트와 완전히 동일한 모습으로 되어 있을 수도 있다.

사기범의 지시를 그대로 따를 경우 컴퓨터 사용자의 키보드 타이핑을 정확히 모니터하는 프로그램이 감쪽같이 하드웨어에 심어져 각종 사이트의 ID와 패스워드, 고객의 주소, 전화번호, 소셜번호 등 중요한 정보가 사기범에게 노출된다고 IRS는 밝혔다.

IRS 관계자는 “세금보고 대행자에게 전송되는 사기성 이메일에는 수신자가 고객들의 세금보고를 위해 실제로 사용하는 소프트웨어 회사 이름이 들어가 수신자가 감쪽같이 속는 경우가 많다”며 “현재까지 많은 전문인들이 피해를 당하지는 않았지만 이 같은 이메일에 한 번만 속아도 고객정보가 대량으로 유출되는 등 돌이킬 수 없는 결과를 초래할 수 있기 때문에 각별히 주의해야 한다”고 말했다.

IRS는 이 같은 사기를 예방하기 위해 세금보고 대행자들에게 ▲링크를 클릭하거나 첨부된 파일을 열어볼 것을 요구하는 수상한 이메일은 즉시 삭제하고 ▲악성 코드나 바이러스 서치를 위해 정기적으로 컴퓨터에 대한 ‘딥스캔’(deep scan)을 실시하고 ▲컴퓨터나 소프트웨어 액세스를 위해 입력해야 하는 패스워드를 숫자와 글자, 심벌이 뒤섞인 복잡한 것으로 바꾸고 ▲직원들에게 이메일 피싱사기의 위험성을 강조하고 예방법을 교육시킬 것 등을 조언했다.

IRS는 또한 수상한 이메일이 소셜번호, 은행 계좌번호 등 개인정보를 달라고 요구하면 해당 이메일을 phishing@irs.gov로 보내 신고하는 것이 현명하다고 강조했다.

<구성훈 기자>