김진정 무역∙통상법 전문변호사, ACI Law Group

무역사기는 전 세계적으로 꾸준히 발생하고 있으며, 그 유형은 이전보다 더 다양해졌다. 특히 이메일 해킹에 의한 무역사기가 가장 빈번하게 일어나 한국업체들에 피해를 주고 있으며, 실존 기업 사칭을 통한 사기 사례도 찾아볼 수 있다. 이메일 해킹 무역사기의 경우 무역 당사자들의 이메일을 해킹하여 교신하는 거래 관련 내용을 지켜보다가, 결제 시점에서 바이어에게 결제은행 변경을 알리는 이메일을 송부하여 송금액을 사취한 뒤 잠적하는 것이 전형적인 수법이라 할 수 있다. 또한 실존 기업 사칭의 경우 해당 국가에서 실존하는 기업의 직원을 사칭하여 위조 주문서를 발주해 피해를 유발하는 수법이 대표적이다. 이 두 무역사기 유형의 실제 사례와 그 대응 방안에 대해 다뤄보고자 한다.

사례 1: 이메일 해킹

미국의 공급업체인 ABC사로부터 원료를 수입해오던 한국 수입회사 D사는 2017년 3월, ABC사의 담당자로부터 은행 계좌정보가 변경되었다는 이메일을 수신하였다. D사는 이러한 계좌 변경 사실 확인을 위해 ABC사의 선적 담당자에게 이메일을 보냈고, ABC사의 선적 담당자 또한 이 변경 사실을 이메일로 확인해주어 수입 물품 대금 14만 달러를 변경된 은행인 미국 Wells Fargo(이하 웰스파고)의 계좌로 송금했다. 그 후 선적을 확인하는 과정에서 이메일이 해킹되었다는 것을 알게 되었고, 웰스파고에 통보하여 인출 중지를 요청했다. D사는 ABC사와 한국 변호인 등을 통해 직∙간접적으로 웰스파고에 사건 경위를 전달하고 환급을 요청했으나, 웰스파고는 Indemnity Agreement(보증서) 없이는 해당 송금액을 환급할 수 없다고 주장하였다. 또한 D사의 한국 거래 은행인 K은행에서도 해당 보증을 진행할 수 없다는 입장을 밝혔다. 웰스파고는 특별한 법적 조치가 없는 한, 송금한 회사(D사)가 해커의 계좌라고 주장하는 해당 은행 계좌로 송금액을 지급할 것이라고 전달해왔다.

필자는 한국 수입회사인 D사를 대리하여 웰스파고 은행을 상대로 소송을 진행하였고, 웰스파고가 해당 송금액을 해커에게 지급하는 것을 멈추도록 요청하는 Temporary Restraining Order(잠정적 금지명령 요청서)와 Preliminary Injunction(예비적 금지명령 요청서)을 법원에 긴급 신청했다. 또한 웰스파고가 해커의 계좌로 송금액을 지급하지 않고, 한국 K은행으로 해당 송금액을 환급하도록 하는 법원 명령 요청(소송장)을 미 연방법원에 접수하였다. 그 후 법정 심리를 통해 판사 명령이 발급되어, 웰스파고는 미국 법원으로 송금액을 기탁하고 D사는 해당 법원으로부터 무사히 송금액을 환급받을 수 있게 된 사례다. 이 사건은 해커가 자신의 거래 은행에서 송금액을 인출하기 전에 발 빠르게 법적 조치를 취함으로써, 사기를 당했으나 다행히 대금은 환수할 수 있었던 케이스이다. 해커가 송금된 금액을 이미 인출해버린 후 사기 사실을 알게 되는 경우가 많고, 이런 경우 대금 환수가 매우 어려울 수 있으므로 문제를 해결할 수 있는 골든 타임을 놓치지 않아야 한다.

대응 방안

이와 같은 이메일 해킹을 통한 무역사기 방지를 위해서는 관련 피해 사례를 잘 이해하고 피해 예방을 위해 다음과 같은 사항에 유의할 필요가 있다. 첫째, 이메일 계정의 비밀번호를 수시로 변경하고 컴퓨터 보안을 철저히 한다. 둘째, 컴퓨터 보안과 관계없이, 무역 당사자 간 은행 거래 정보 변경 시 팩스 및 유선 전화, 영상회의 등을 통해 다시 한번 확인하는 절차를 거친다. 셋째, 계좌이체 후 문제를 발견했을 경우 경찰 및 FBI 등에 신속히 신고하는 것뿐만 아니라, 출금 은행을 상대로 지급정지를 요청하는 것이 매우 중요하다.

사례 2: 이메일 해킹

한국 수출업체 K사는 미국 캘리포니아주에 있는 수입업체 A사에 7만5000달러 상당의 제품을 수출했고, 통상적인 대금 결제 기간 30일이 지나도록 대금 지급이 이뤄지지 않자 A사에 연락을 취했다. 이에 대해 A사는 K사의 요청에 따라 이미 해당 지급이 이루어졌다고 주장했다. 확인 결과, 미국 수입업체 A사의 이메일이 해킹됐고, 사례 1과 비슷하게 A사가 엉뚱한 계좌로 송금을 한 것이 밝혀졌다. 결과적으로 한국 수출업체 K사는 대금을 받지 못했으므로, A사를 상대로 미수금 소송을 시도했다. A사는 당사의 이메일이 해킹되어 일어난 사건이라는 것을 알고 있는 듯했지만 이미 수입제품에 대한 대금을 지급했기에 완강히 추가 지급을 거절했으며, 해당 사건이 한국 K사의 내부 직원과 관련이 있다는 식으로 주장하며 대금 지급을 거절했다.

법적 책임 소재를 따져볼 경우 미국 A사에 책임이 있다고 사료되지만, 막상 소송을 진행하기에는 한국 K사가 많은 비용을 들여 미국에서 소송하는 것이 쉽지 않았다. 따라서 한국 K사가 결국 미수금을 포기하였고, 이로 인해 양사 간 거래도 더 이상 이루어지지 않는 방향으로 사건은 종결되었다.

대응 방안

위의 사례에서 한국 수출업체는 아무런 잘못이 없다고 볼 수 있지만 결과적으로는 피해를 보게 되었다. 따라서 이러한 일이 일어나지 않도록 예방하는 것이 매우 중요하며, 무역 거래 시 은행 거래 정보를 수정 혹은 변경할 경우 양사 간 반드시 유선 전화, 팩스, 영상회의 등을 통해 이를 재확인하도록 계약서에 명기해두어 책임소재를 분명히 할 필요가 있다. 또한 대금 미지급에 대한 소송이 있을 경우, 패소하는 측이 승소하는 측의 모든 변호사 비용을 지급한다는 조항도 계약서에 포함해 둔다면 한국 기업의 잘못이 아닐 경우 피해를 막을 수 있다.

사례 3: 실존기업 직원 사칭 및 서류 위조

한국 기업인 W사는 지난 6월, 미국 기업인 I사의 구매담당자라고 밝힌 J씨로부터 제품 생산 주문에 대한 문의를 받았다. W사는 해당 주문 생산에 대한 가격요건을 제시하며 직접적인 거래에 대한 의지를 밝혔다. I사는 7월 3일 자로 지사가 위치한 특정 국가로의 배송을 요청하는 PO(주문서)를 곧바로 발주했으나, W사는 제품 생산 마무리 단계에서 유사한 사기 사례가 있음을 뒤늦게 깨닫고 의심을 하게 되었다. 이에 I사의 실존 여부와 PO를 발주한 담당 직원인 J씨 및 그 외 주문 문의를 한 R씨 또는 A씨의 근무 여부를 확인해보게 되었다.

I사와 확인한 결과, J, R, A라는 이름을 가진 직원은 I사에 없음이 확인되었다. 또한 J씨가 발주한 PO 번호는 I사가 사용하는 PO 번호가 아니며, 해당 PO가 없는 것 또한 확인되었다. 확인 과정에서 해당 I사는 J라는 직원의 근무 여부에 대한 문의를 이미 많이 받았음이 밝혀지며, 이미 동일 인물이 여러 차례 I사 직원을 사칭한 것임을 확인할 수 있었다. 사칭범인 J씨 및 A씨가 W사와 교신한 이메일 내용에서는 실존기업인 I사의 주소와 웹사이트를 그대로 사용했으나, 정작 이메일 주소는 실존기업의 도메인에서 단 한 글자만 빠진 도메인을 사용해 유사한 이메일 계정으로 교묘하게 위장, 사칭한 경우였다.

대응 방안

위 사례의 경우 해외 기업에서 보내왔다고 생각한 사칭 이메일 계정 확인만 꼼꼼히 이루어졌어도 제품 생산 시작 전에 사칭 및 위조 파악이 가능해, 피해를 방지할 수 있었던 사례로 판단된다. 이러한 유형의 무역사기 방지를 예방하기 위해서는 특히 해외 바이어와 처음 거래를 하는 경우 주문서를 받고 생산을 시작하기 전에 해당 바이어의 실존 여부와 함께 주문서 사실 여부를 먼저 확인하는 것이 필수이다. 특히 실존기업을 사칭한 경우 주소, 비즈니스 등록 증빙 및 신용등급 등을 확인한다 해도 실제로 존재하는 기업이기에 정보가 모두 확인된다. 거래 당사자인 한국 기업들이 이러한 정보에 안심하여 생산 등을 진행한다면, 이는 바로 피해로 이어지게 될 것이다. 따라서 실제로 주문서를 발주한 바이어 또는 담당 직원의 이메일 계정이 해당 기업이 사용하는 도메인과 일치하는지 확인하고, 해당 직원의 근무 여부와 주문서 번호 또한 다시 한번 확인하여 사칭 및 위조 여부를 반드시 미리 점검하는 자세가 필요할 것이다.

잘 모르는 기업과 또는 기존 거래처라도 주문서만 믿고 거래를 진행하기에는 무역사기가 점점 더 교묘하고 그 유형이 다양해지고 있다. 따라서 물품이나 대금을 떼이지 않기 위해서는 돌다리도 두들겨보는 신중함이 필요하다. 상기 사례들을 통해 명심해야 할 점은 이메일이나 주문서만 의존하는 것은 두 눈을 가리고 외줄 타기에 도전하는 것과 같이 큰 위험부담을 안게 된다는 점이다. 담당자와 정기적인 전화 통화를 하고 신규거래에 앞서 신용도 확인, 책임 보험 가입 증빙, 비즈니스 라이선스 정보 요청, 유선으로 담당자 직통번호가 아닌 기업의 메인 전화번호를 통해 담당자를 다시 확인하는 등 다양한 방법을 통해 돌다리도 다시 두들겨 봐야 한다. 예를 들어 미국 기업의 신용도 확인은 Experian Smart Business Reports, Equifax, Dunns & Bradstreet 등과 같은 신용평가기관에서 비교적 간단히 구매·확인할 수 있으며, 비즈니스 라이선스 및 책임보험 등의 각종 증빙 서류도 신경 써서 요청만 한다면 확인이 가능하다. 피해를 당한 상태에서 사건을 해결하기에 미국은 너무 멀고 해외 거래처에 대한 보호법이나 대처 방안이 제한적이다. 따라서 무엇보다 효과적인 최고의 해결책은 철저한 대비와 방비임을 기억해야 할 것이다.

※ 이 원고는 외부 글로벌 지역전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.