IRS가 올해에도 대표적인 세금 사기 유형을 공개하고, ‘더티 더즌’(Dirty Dozen) 캠페인을 통해 요즘 극성을 부리는 피싱 범죄에 대해 납세자들에게 경고했습니다.

IR-2019-26, 2019년 3월 4일
 
워싱턴 — 오늘 IRS는 매년 대표적인 세금 사기 유형을 정리하는 ‘더티 더즌’(Dirty Dozen) 목록을 발표하고, 세금 관련 사기 범죄와 신원 도용에 악용될 수 있는 인터넷 피싱 사기의 위험에 대한 납세자들의 주의를 당부했습니다.

IRS는 납세자, 사업체, 세무 종사자들에게 가짜 이메일, 문자 메시지, 웹사이트, SNS를 통해 개인 정보를 도용하려는 시도가 계속 급증하고 있다고 경고했습니다.  이런 범죄는 세금 신고 기간에 특히 활개를 치며, 신원 도용이 주로 이런 방식으로 이루어집니다.

IRS는 이런 범죄로부터 납세자들을 보호하기 위해 한 가지 사기 유형을 선정해 주중 12일 연속으로 이에 대한 대중의 인식을 집중적으로 높이고 있습니다. 2019년 첫 번째 ‘더티 더즌’ 범죄는 바로 피싱입니다.

척 레티그(Chuck Rettig) IRS 청장은 “교묘하고 영악한 수법으로 IRS를 사칭하는 이들 피싱 사기에 대해 납세자들이 지속적으로 경계해야 한다”고 말하며  “IRS를 사칭하거나 환급금을 많이 받아주겠다고 약속하거나 개인적으로 협박을 가하는 이메일과 그 밖의 다른 사기 행각에 주의해야 한다. 이메일의 첨부파일과 링크를 함부로 클릭하지 말고, 피싱을 비롯한 흔한 사기 수법에 걸려들지 않도록 조심해야 한다”고 덧붙였습니다.

이와 함께 IRS는 IRS, 각 주의 세무부, 민간 세무 업계의 협의체인 보안 서밋(Security Summit)(英文)에서 개발한 안전 수칙을 납세자들이 숙지하여 피해를 입지 않도록 당부하고 있습니다.
레티그 청장은 “기본적인 보안 조치들을 따르고 경계를 늦추지 않는다면 납세자들과 이들의 민감한 세금 정보 및 금융 정보를 안전하게 지킬 수 있을 것”이라고 밝혔습니다.

신종 피싱 사기 수법들

납세자들을 상대로 한 사기 행위가 연중 끊이지 않는 가운데 IRS는 언론 보도와 진화하는 피싱 수법들을 계속 주시하고 있습니다. 감쪽 같은 가짜 랜딩 페이지를 동원한 그럴듯해 보이는 이메일이든 단축 URL을 사용한 SNS 수법이든 이런 사기 행각의 최종 목적은 바로 개인 정보를 빼내는 것입니다.
납세자의 은행 계좌를 이용하는 기발한 변종 수법(英文)을 예로 들 수 있습니다. 범인들은 개인 정보를 훔쳐 피해자의 명의로 허위 세금 신고를 한 후 세금 환급액이 피해자의 은행 계좌로 자동 이체되도록 설정합니다. 그 다음에는 세금 징수 기관이나 IRS를 사칭하는 등 갖가지 방법을 동원해 피해자로부터 환급금을 회수합니다. 자신의 은행 계좌에 출처를 알 수 없는 입금 내역(英文)을 발견했다면 IRS가 제공하는 기본 팁을 다시 한 번 살펴보아야 한다고 IRS는 권고하고 있습니다.

세무 종사자, 경리과, 인사부 담당자를 겨냥한 수법들

IRS는 Form W-2에 담긴 정보와 같이 세무 종사자, 급여 담당자, 인사부 담당자, 학교, 기타 조직의 파일에 있는 개인 정보 또는 금융정보를 노린 진화된 형태의 피싱 수법들도 발견할 수 있었습니다.  이런 대상을 노린 신용 사기 범죄를 기업 이메일 침해(BEC) 또는 기업 이메일 스푸핑(BES)이라고 부릅니다.

신용 사기의 변형 방식(여러 종류가 있습니다)에 따라 범인들은 다음과 같은 조직 또는 개인을 사칭할 수 있습니다.

  • 수신자에게 가짜 인보이스 대금을 지급하라고 요청하는 사업체
  • 직원으로 가장하여 자동 이체 계좌를 변경하고 싶다고 요청
  • 조직 임원과 같이 납세자가 신뢰하거나 알고 있는 사람으로 가장하여 전신 송금을 요청

IRS는 2018년 12월에 자동 이체를 악용한 BEC/BES 변종 사기(英文)에 대해 경고하였으며, 자동 이체 사기 신고가 phishing@irs.gov을 통해 지속적으로 접수되고 있습니다.  자동 이체와 기타 BEC/BES 변종 사기 범죄를 발견하시면 반드시 인터넷범죄신고센터(Internet Crime Complaint Center(IC3))로 연락해 주십시오. Form W-2를 이용한 사기 범죄는 phishing@irs.gov(메일 제목: W-2 Scam)로 신고해 주십시오. 

범죄자들은 이메일 계정 공격(email account compromise)이라 불리는 피싱 공격을 통해 훔친 이메일 계정 정보(이메일 주소, 비밀번호 등)를 사용해 피해자가 갖고 있는 타인의 이메일 주소로 피해자를 사칭한 피싱 이메일을 전송할 수도 있습니다. 세무 대리인은 자신이 아는 개인 혹은 사업체가 뜬금없는 이메일을 보냈다면 일단 조심해야 합니다. 특히 세무 대리를 맡기고 싶다는 낯선 사람의 이메일(英文)과 같은 흔한 형태의 사기 수법에 유의해야 합니다.

악성 이메일과 악성 웹사이트는 사용자가 모르는 사이에 컴퓨터를 멀웨어에 감염시킬 수 있습니다. 범죄자는 백그라운드에서 실행되는 멀웨어를 통해 사용자의 기기 안에 저장된 민감한 파일에 접근하고 심지어는 사용자의 키보드 입력을 추적해 사용자의 로그인 정보를 빼낼 수 있습니다.
이런 범죄에 가담하는 이들은 무거운 처벌을 받게 되며, 형사 소추를 당할 수도 있습니다. IRS 사칭 신용 사기 사건을 처리하는 재무부 조세행정 총괄감사국(TIGTA)과 IRS 범죄수사국(Criminal Investigation Division)은 신용 사기를 근절하고 그 배후에 있는 범죄자들을 기소하기 위해 법무부와 긴밀히 공조하고 있습니다.

세무 종사자들이 특히 경계해야 할 부분

전국적으로 데이터 유출 범죄가 빈번하게 발생함에 따라 비정상적 활동에 대한 세무 종사자들의 각별한 주의가 요구됩니다. 특히, 세금 신고 기간에 경계를 높여야 합니다. 세무 종사자들을 대상으로 하여 고객의 데이터에 접근하기 위해 다양한 형태의 피싱 이메일을 동원하는 범죄가 점차 늘어나고 있습니다. 범죄자들은 이렇게 빼낸 정보를 활용해 납세자를 사칭하고 가짜 세금 신고서를 제출하여 환급을 받으려 시도할 수도 있습니다.

보안 서밋(Security Summit)이 추진하는 활동의 일환으로 IRS는 신용도용 세금 환급 사기로부터 미국 납세자들을 보호하기 위해 소프트웨어 업계 대표, 세무대리업체, 급여 및 세무 금융 상품 담당자, 주 세무당국과 함께 힘을 모으기로 했습니다.

보안 서밋 파트너들은 세무사들이 잠재 고객 또는 기존 고객과 이메일로만 소통하는 것을 경계하도록 독려하고 있습니다. 일반적이지 않은 요청을 하는 고객을 특히 주의해야 합니다. 데이터 유출 사건으로 인해 이름, 주소, 사회 보장 번호, 이메일 주소 등 수백만 건의 개인 신상 정보가 이미 범죄자들의 손에 넘어갔습니다. 의심스러운 활동을 발견한 세무사는 고객 신원의 진위를 반드시 확인해야 합니다.

피싱 시도 신고 방법

IRS 또는 전자식 연방 세금 납부 시스템(EFTPS)과 같이 IRS와 관련된 기관에서 보낸 것처럼 보이는 알 수 없는 이메일이나 SNS를 통한 연락을 받으면 phishing@irs.gov로 반드시 신고해 주십시오. 보다 자세한 사항은 IRS.gov의 Report Phishing and Online Scams(피싱 및 온라인 신용 사기 신고) 페이지를 방문해 확인해 주시기 바랍니다.

IRS에서 보낸 것처럼 보이거나 세금과 관련된(예를 들면, 전자 서비스 프로그램과 관련) 알 수 없는 수상한 이메일을 받은 세무사는 phishing@irs.gov를 통해 반드시 신고해야 합니다.
일반적으로 IRS는 이메일을 통해 납세자에게 개인 정보나 금융 정보를 먼저 요청하지 않습니다. 휴대전화 문자 메시지, SNS 등과 같은 전자 통신 수단을 이용한 연락도 하지 않습니다.