<박종배의 세무칼럼> 피싱 (Phishing)

피싱(phishing)이라 함은 이메일, SNS등을 통해 개인의 은행정보 및 개인신상 정보를 부정하게 얻으려는  행위를 말한다.  예전에는 스팸메일을 통한 불특정다수에게로의 피싱활동이 주를 이루었기 때문에, 스팸메일을 열어 링크를 클릭하지만 않는다면, 피싱공격에 노출되지는 않아왔다.  그렇지만,최근들어 특정인 혹은 회사를 타겟으로 하기도 하며, 전화를 통한 보이스피싱 활동도 있는 것으로 언론에 보고되고 있다.

이번호에는 지난 5월15일자 Stuff.co.nz의 기사 “Ukrainian migrant thought he was savvy, then he got a call from Inland Revenue” 의 내용을 소개하여, 주의를 환기하고자 한다.

Anton은 우크라이나에서 자랐기 때문이 본인 스스로 사기(scams)를 잘 이해하고 있다고 여겨 왔었다.  그렇지만, 웰링턴 지역번호(03)으로 부터 받은 보이스피싱 공격에 Anton의 개인정보가 누출되었다.

맨처음 시작은 Anton의 배우자가 IRD라고 사칭하는 자로부터 전화를 받은 것으로 시작되었다.  그자는 Anton이 수천달러의 소득세환급이 있다고 하면서 로컬전화번호와 클레임번호를 Anton의 배우자에게 남겼다.  Anton은 최근에 회계사를 통해 소득세신고를 하여 우연히 비슷한 규모의 소득세환급액을 기대하고 있었고, 발신자의 전화번호가 웰링턴 지역 전화번호였기 때문에 의심하지 않았다.  일때문에 산만해진 상태에서 Anton은 해당전화번호로 전화를 걸었고, 본인 확인을 위해 운전면허번호를 알려주었다.  그렇지만, 인도인 엑센트가 있는 상대방이 은행계좌번호를 요구하자, 뭔가 이상하다는 판단에 전화를 끊었다.

그후 Anton은 사기꾼이 본인이 알려준 ID로 Anton명의로 부정대출을  받을 수 있다는 판단에 운전면허증을 갱신하였으며, 그리고 IRD를 사칭한 자가 Anton의 은행카드 뒷번호 4자리를 이미 알고 있었기 때문에 은행카드도 번호를 다르게 재발급받았다. 

보통 인터넷 상거래에서 특정거래를 확인하기위해 판매자는 은행카드 뒷번호 4자리를 보관하는데,이 정보가 사기꾼에 부당하게 전달될 수 있고, 사기꾼은 피해자의 믿음을 얻기 위해 뒷번호 4자리를 인용할 수 있다고 한다.

Netsafe.org.nz 의 Chris Hails는 IRD라고 사칭자로부터의 피싱활동은 흔하다고 하면서, 피싱활동을 인지하고 있는 자도 한 순간에 (피곤하거나, 바쁜시기 등) 이런 피싱의 첫 바늘에 낚였을때 사기꾼(scammer)들은 자기들이 가장 잘하는 활동(정보수집)에 당신을 끌어간다고 한다.

Anton의 경우, 사기꾼들이 은행계좌번호를 요구했을시 다행히 알려주지 않았지만, 사실 소득세환급을 위해 은행계좌가 필요하다면?  질문을 하는 필자 역시 소름이 돋는다.

거래처나 지인이 아닌 경우에는 이메일을 열지 말아야하고, 특히 이런자로부터의 링크는 절대 열지 말아야 하겠다.  그리고, 거래처 혹은 지인의 이메일이 해킹되었을수도 있으니, 한국인이 링크를 포함한 영문이메일을 보냈을 경우에는 절대로 링크를 열지 말고, 해당 거래처 혹은 지인에게 전화로 연락하여 이를 알려야 하겠다.

실제로 IRD에서 납세자에게 직접 전화를 하기도 한다.  일반적으로 IRD에서는 전화로 면허번호, 계좌번호 등 개인신상정보를 요구하지 않는다.  의심이 가는 경우에는 전화를 끊고 의뢰회계사에게 연락하거나 IRD로 직접 전화를 걸어 상담을 이어가야 하겠다 (링크- ’IRD 전화번호’).

▶ 주의 : 본 칼럼은 안내를 목적으로 쓰여졌으므로, 저희글에 의지하여 발생하는 손실에 대해서 저희가 책임을 지지 않습니다

- 박종배 회계사 - 577-0147, 021-307-970, jb@jbtax.co.nz. www.jbtax.co.nz