Breaking
사이버 보안(Cybersecurity)
해커들, 축산업 거래 방해…지불 내역 담긴 전자 메일 해킹
2019-06-26 18:29:55
허서윤
▲해커들이 은행, 여행, 건강 관리 산업 등에 이어 이제는 축산업을 노리고 있다(사진=ⓒ위키미디어 커먼즈)

[라이헨바흐=허서윤 기자] 일부 해커들이 은행, 여행 산업, 건강 관리 산업을 넘어 축산업까지 마수를 뻗고 있다.

이들은 농업, 특히 축산업 분야를 혼란스럽게 만드는 데 관심이 있는 것으로 보인다.

최근 익명의 해커 그룹이 가축 사료 거래 내역을 해킹해 120만 달러(약 14억 원) 상당을 가로챘고 구매 업체는 환율 변동 등의 이유로 추가로 16만 1,000달러(약 2억 원)를 지불해야 했다.

그러나 구매 업체(통칭 K)는 추가 비용을 지불하고 싶지 않았으므로 특정 시간에 브로커로부터 인보이스를 받았다는 점을 강조했고 구매 업체와 판매 업체는 이 내용을 공개 법정으로 가져갔다.

K와 함께 피해를 입은 익명의 두 기업은 사기업이었다. 그는 루마니아에서 해바라기 씨가 들어간 사료를 구입했고, 대금을 송금하는 일만 남은 상황에서 지불 정보가 해커의 은행 계좌로 대체됐다는 사실을 알지 못했다.

한 달 정도의 시간이 지나 모든 사람들이 무슨 일이 일어났는지 알게 됐다. 이 사건으로 판매 업체(통칭 A)의 구입 가격이 13% 부족해졌다.

해커가 판매 업체와 구매 업체 사이에서 오고간 전자 메일에 끼어들어 내용을 조작했기 때문이다.

▲해커들은 기업의 전자 메일 시스템에 침투해 회사 직원들의 개인 정보를 도용하고 전자 메일 내용을 조작했다(사진=ⓒ플리커)

비즈니스 이메일 손상

이 사건은 비즈니스 이메일 손상 공격의 예시다. 사이버 공격자는 대상 조직의 전자 메일 시스템에 침투해 개인 정보를 훔쳤고 회사 임원과 직원들의 개인 정보, 회사의 전자 메일 내용 등을 조작해 비즈니스를 침해했다.

법원의 판결에 의하면 사기꾼들은 전자 메일 계정을 해킹한 다음 지불 수단 등을 바꿔치기 했고 K는 1996년 중재법 67, 68, 69조에 따라이 사안을 해결하고자 한다.

 

K와 A의 인보이스 연혁

앞서 2015년 A사는 바이어인 K에 116만 7,900달러(약 13억 8,600만 원) 어치의 해바라기 씨 사료를 팔기로 합의했다. 이 화물은 일반 화물선 MV 시 커맨더에 실려 운반됐다.

2015년 11월 2일 A가 K에 보낸 인보이스에는 씨티은행 계좌와 지불할 금액이 적혀 있었다. 이 인보이스는 농업 상품 브로커인 비코러스가 스위프트 넘버 등을 적은 지불 청구서를 K에 전달한 것이다.

비코러스는 인보이스를 K의 이메일로 전달했다. 메일이 발송된 시간은 중부 표준시로 15시 5분이었으나, K는 이메일을 받지 못해 그 내용을 전달했고 판매자가 다시 메일을 보내 45분 뒤에야 해당 메일을 받을 수 있었다.

그런데 중부 표준시 15시 55분에 K가 받은 이메일은 해당 시점에서 이미 해커에 의해 조작된 이메일이었다.

원래 A가 송금을 지정했던 계좌는 씨티은행 뉴욕 지점의 계좌였다. 그러나 K는 씨티은행 런던 지점의 계좌로 돈을 송금했다. 이것은 해커가 소유한 계좌였다.

해커는 비코러스가 K로 전달한 인보이스 메시지를 그대로 놔두는 대신 이메일을 바꿔치기 해 K가 변경된 지불 정보로 돈을 보내도록 만들었다.

여기서 끝나지 않았다. 해커는 계속해서 이메일을 조작해 두 번째 인보이스 메시지를 보냈다. 씨티은행 뉴욕 지점을 통해 씨티은행 런던 지점으로 송금하는 방법이 담긴 안내서였다.

K는 계속해서 잘못된 계좌 번호로 돈을 지불했다.

▲중재 재판은 K에게 불리한 방향으로 흘렀다(사진=ⓒ픽사베이)

법원 판결

중재 재판은 K에 유리한 쪽으로 흘러가지 않았다. K는 거래 계약 등을 이행했다고 여러 번 주장했음에도 재판에서 패했다. 그러나 이번 사건에는 제 3자가 끼어들었기 때문에 K가 비난받을 수는 없었다.

해당 금액은 잘못된 계좌로 보내지기는 했지만 실제로 존재하는 계좌로 보내진 것이기 때문에 이 사건은 사기 또는 위법 행위가 아니라는 판단이 내려졌다.

K는 항소했지만 환율 변동 등을 이유로 A의 실제 은행 계좌에 A가 요구한 16만 1,000달러(1억 9078만 원)를 추가로 지불해야 한다는 판결을 받았다.

판사는 "은행 계좌로 돈을 지불한다는 것은 엄격하게 말해 수취인에게 직접 돈을 지불하는 것은 아니다"라며 "은행과 고객의 관계는 채무자와 채권자의 관계이며 지불 자체는 은행을 통해 이뤄진다"라고 말했다.

그는 "은행 지점, 계좌 이름, 계좌 번호로 목적 수취인 등을 식별하지 않고 자금을 이체하는 것은 상업적으로 불가능하다"라고 덧붙였다.

 

[라이헨바흐=허서윤 기자]