![[단독] "선관위, 특혜채용 감사 저항…증거 싹 지운 서류 내놨다"](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/01/ce0a205d-3d0e-485f-b8e7-055065505b9f.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
중소벤처기업부 산하 창업진흥원이 피싱(Phishing·통신 사기) 범죄를 당해 1억원이 넘는 정부 자금을 날릴 위기에 처했다. 민간이 아닌 정부 공공기관이 피싱에 낚여 직접 해외 범죄 단체에 송금까지 한 사례는 처음이다. 공공기관 보안망에 경계령이 떨어졌다.
12일 세종 정부부처와 경찰청에 따르면 피싱 범죄에 희생된 건 창업진흥원(창진원)이 수행한 ‘K-스타트업 센터’ 사업이다. 201개 스타트업의 해외 진출을 돕는 데 2989억원을 투자한 대규모 프로젝트다. 창진원은 이 과정에서 올 초부터 유럽계 스타트업 액셀러레이터인 ‘레인메이킹’과 접촉했다.
구체적으로 e-메일로 ▶국내 스타트업의 해외 시장진출 및 현지화 지원 ▶스타트업에 대한 글로벌 투자유치 및 금융 지원 ▶스타트업 육성 프로그램 노하우 공유 ▶글로벌 대기업과 협업 등 분야에서 레인메이킹의 도움을 받기로 했다. 계약 금액은 27만 달러(약 3억5000만원).
사고가 터진 건 지난 6월 초였다. 레인메이킹 측은 e-메일로 “HSBC 은행 계좌로 선금(50%) 13만5000달러(약 1억7500만원)를 송금해달라”고 요청했다. 창진원 담당자는 내부 승인을 거쳐 해당 계좌로 선금을 송금했다. 그런데 한 달 뒤인 지난 5일 레인메이킹 측으로부터 전화가 걸려왔다. “왜 선금을 보내지 않느냐.”
창진원 측은 뒤늦게 e-메일 피싱을 당했다는 사실을 파악했다. 레인메이킹 은행 계좌가 아닌 엉뚱한 계좌로 선금을 보낸 것이다. 자체 조사 결과 피싱 업체가 레인메이킹의 e-메일 계정인 ‘XXXX@rainmaking.io’가 아니라 끝부분만 살짝 바꾼 ‘XXXX@rainmaking-in.com’ 사기 계정으로 보낸 e-메일과 소통하다 송금 사고를 낸 것으로 나타났다.
창진원 담당자는 “e-메일 송수신 내역을 훤히 들여다보다 중간에 자연스럽게 끼어들어 전혀 눈치챌 수 없었다”며 “거래 내역을 담은 인보이스(송장)까지 보내와 감쪽같이 속았다”고 해명했다. 창진원은 사고를 파악한 직후 경찰에 수사를 의뢰했다.
문제는 거액을 송금하는 과정에서 대면으로 만나거나, 전화 한 통 하지 않고 e-메일로만 소통했다는 점이다. 담당자의 착오가 있었더라도 송금하기까지 창진원 내부에서 제어할 수 있었는데도 걸러내지 못했다. 무엇보다 사고가 터진 지 한 달이 지나서야 외부 신고로 인지했다는 점에서 중기부도 사안을 심각하게 보고 있다.
중기부 관계자는 “창진원 예산이 아니라 중소기업진흥공단 자금이라 중기부에서도 경위를 파악 중이다. 규모가 큰 벤처 투자 자금을 확인 절차를 제대로 거치지 않고 집행하는지 전반적으로 조사하고 있다”고 말했다.
이병귀 경찰청 사이버범죄수사과장은 “비대면 의사소통이 늘어난 점을 노린 e-mail·메신저 피싱 범죄가 기승을 부리고 있다”며 “가장 일반적인 사례가 거래처 자금 담당자로 위장해 거래 대금을 공격자 계좌로 송금하도록 유도하는 방식”이라고 설명했다.
대응 수위를 높인 민간 대기업처럼 정부부처나 공공기관도 보안 시스템을 강화해야 한다는 지적이 나온다. 이창무 중앙대 보안대학원 교수는 “창진원 피해 사례는 여러 경로를 통해 확보한 e-메일 ID와 비밀번호로 신뢰를 먼저 구축한 뒤 공격하는 ‘사회공학적 피싱’의 전형”이라며 “심리적 허점을 노린 범죄인 만큼 해킹에 대비한 보안 교육을 강화해야 한다”고 말했다.
