일경네트워크_2023/05_미국 사이버 범죄의 실태
日経Network
요약
Nikkei Network_2023.5 NEWS close-up (p14-15)
미국 사이버 범죄의 실태
2022년 피해 총액 100억 달러 돌파, BEC를 누르고 ‘전근대적 범죄’가 1위로
매일같이 보도되는 랜섬웨어(몸값 요구형 바이러스) 공격으로 인한 피해. 이제 랜섬웨어 공격은 사이버 범죄의 대명사라고 할 수 있다. 한편, 미국에서 발생하는 피해액은 비즈니스 이메일 사기(BEC: Business Email Compromise)가 위인 것 같다. 그런데 그런 구도가 급변했다.
미국 연방수사국(FBI) 인터넷범죄신고센터(IC3)는 센터에 보고된 사이버 범죄 피해를 집계한 ‘Internet Crime Report’를 매년 발간하고 있다. 이에 따르면 사이버 범죄의 종류별 피해액은 21년까지는 7년 연속으로 비즈니스 이메일 사기가 1위였다.
그런데 23년 3월 10일에 공개된 'Internet Crime Report 2022'에서는 이변이 일어났다. 다른 사이버 범죄가 1위를 탈취한 것이다. 그 피해액은 랜섬웨어 공격과 비즈니스 이메일 사기를 합친 피해액을 웃돌았다.
BEC를 누르고 선두를 빼앗은 사이버 범죄는 무엇이었을까?
-- 보고 건수는 80만 건 --
사이버 범죄의 피해액은 매년 증가하고 있다. 22년에 보고된 건수(80만 944건)는 21년의 보고 건수(84만 7,376건)을 밑돌았지만 피해 총액은 103억달러에 달하면서 21년의 69억달러를 크게 웃돌았다.
22년 사이버 범죄의 종류와 피해액을 보면, 22년에 급증하면서 1위를 빼앗은 것은 투자사기다. 피해액은 33억 1,174만 2,206달러였다. 부동의 선두였던 비즈니스 이메일 사기는 2위로 떨어졌다. 피해액은 27억 4,235만 4,049달러였다. 또한 랜섬웨어 공격에 따른 피해액은 3,435만 3,237달러로 21위였다.
<표> 2022년 사이버 범죄의 종류와 피해액
|
순위 |
사이버 범죄의 종류 |
피해액(달러) |
|
1 |
Investment |
33억 1174만 2206 |
|
2 |
BEC |
27억 4235만 4049 |
|
3 |
Tech Support |
8억 655만 1993 |
|
4 |
Personal Data Breach |
7억 4243만 8136 |
|
5 |
Confidence/Romance |
7억 3588만 2192 |
|
6 |
Data Breach |
4억 5932만 1859 |
|
7 |
Real Estate |
3억 9693만 2821 |
|
8 |
Non-Payment/Non-Delivery |
2억 8177만 73 |
|
9 |
Credit Card/Check Fraud |
2억 6414만 8905 |
|
10 |
Government Impersonation |
2억 4055만 3091 |
|
11 |
Identity Theft |
1억 8920만 5793 |
|
12 |
Other |
1억 1768만 6789 |
|
13 |
Spoofing |
1억 792만 6252 |
|
14 |
Advanced Fee |
1억 432만 5444 |
|
15 |
Lottery/Sweepstakes/Inheritance |
8360만 2376 |
여기서 말하는 투자사기란 온라인에서 거짓 투자를 미끼로 사람들의 돈을 빼앗는 사기를 말한다. 지극히 전근대적인 사기다. 하지만 21년에 14억 5,594만 3,193달러였던 피해액이 22년에는 2배 이상으로 급증했다.
-- 가상통화 사기 피해액 급증 --
투자사기 피해가 급증한 배경에는 암호자산(가상화폐)의 보급이 있는 것 같다. 가상화폐가 관련된 투자사기 피해액은 21년에 9억 700만달러였지만 22년에는 25억 7,000만달러로 증가했다.
가상화폐와 관련된 투자사기의 대표적인 예가 유동성 마이닝 사기라고 한다. 공격자는 상대방의 암호화폐 지갑을 신뢰할 수 없는 유동성 마이닝으로 교묘하게 링크시킨다. 그리고 나서 보관되어 있는 암호화폐를 모두 탈취한다.
유동성 마이닝이란 자신의 가상화폐를 DeFi(분산형 금융) 서비스에 예치해 보수를 받는 구조다. DeFi는 금융기관 등을 통하지 않고 가상화폐를 교환하는 구조를 말한다. DeFi에 가상화폐를 예치하면 DeFi의 거래가 활발해지기(유동성이 증가하기) 때문에 보수를 받을 수 있다.
-- 고전적 사기의 은신처로 --
유동성 마이닝 사기에 대해서는 22년 무렵부터 보안업체 등이 주의를 당부하고 있다. 예를 들어 영국의 보안기업 소포스(Sophos)의 연구자는 22년 5월, 유동성 마이닝을 악용한 사기가 늘고 있다며 자사 블로그에서 경고했다. "유동성 마이닝은 정규 이용일지라도 매우 복잡하기 때문에 오래된 사기 수법을 가상화폐에 응용한 사기의 좋은 은신처가 된다"고 코멘트했다.
그 외에도 다음과 같은 수법이 보고되고 있다.
• SNS 계정을 탈취하여 해당 계정 유저의 지인에게 부정한 투자를 권유한다.
• 유명인 행세를 하면서 표적이 된 유저에게 접근하여 사기 계획에 투자하도록 유도한다.
• 투자 회사로 위장하여 사원을 모집하고, 응모한 사람들에게 업무가 아니라 부정한 투자를 권유한다.
IC3에 따르면 투자사기의 피해자가 가장 많았던 연령층은 30~49세. 피해자의 대부분은 고액의 빚을 지게 되었다고 한다.
참고로 사이버 범죄의 피해자 수에서는 피싱 사기가 30만 497명으로 가장 많았다. 투자사기 피해자는 3만 529명이었다. 여기서 말하는 피싱 사기는 패스워드나 신용카드 번호와 같은 개인정보를 훔치는 인터넷 사기를 말한다. 실재하는 기업이나 조직이 보낸 것처럼 위장한 이메일 등으로 공격자의 웹사이트로 유도해 개인정보를 입력하도록 한다.
이번에 소개한 것은 미국 데이터지만 국내도 예외는 아니다. 국민생활센터와 소비자청, 경찰청 등은 가상화폐 관련 이슈가 보고되고 있다며 종종 주의를 환기하고 있다. 예를 들면 다음과 같은 상담이 국민생활센터에 접수되고 있다고 한다.
• 돈을 벌 수 있다는 말을 지인에게 듣고서 암호자산 투자를 시작했는데 계좌에서 출금이 되지 않는다. 추가 입금을 하면 출금이 된다고 하는데 믿을 수 없다.
• SNS를 통해 알게 된 투자자에게 암호자산의 렌딩(대출)을 권유 받고 해외 업자에게 암호자산을 송금했지만 만기가 지나도 출금할 수 없다.
• 매칭 앱으로 알게 된 여성으로부터 암호자산 운용을 권유 받았다. 수익을 냈기 때문에 출금을 요구했더니 세금이나 수수료 등의 송금을 요구했다.
당연하지만 세상에 쉽게 돈 버는 일은 존재하지 않는다. 다시 한번 명심하기를 바란다.
-- 끝 --
Copyright © 2020 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.
목차
