#한국 수출기업 A사는 인도네시아 B기업과 거래를 했다. A사는 B사가 무역대금을 입금하지 않아 연락했다. B사는 “바뀐 계좌로 보냈다”며 A사에 물품 선적을 요구했다. A사는 계좌를 변경한다는 이메일을 보내지 않았다. B사는 “A기업 이메일 해킹 때문에 사기 당했다”며 분쟁을 시작했다. A사는 “확인하지 않고 보낸 B사 책임”이라며 공방하고 있다.

이메일 해킹 무역사기가 급증하며 기업 간 분쟁도 늘었다. 전문가들은 이메일 해킹 무역사기는 해킹을 당한 쪽 책임이 크다고 입을 모았다. 보안이 허술한 기업이 법적 소송에서 불리하다.

김경환 법무법인 민후 대표변호사는 “해킹 흔적이 나온 쪽이 원칙적으로 책임이 있다”며 “B사가 확인하지 않는 점 등 과실을 고려해 일부 책임을 부담할 수 있다”고 말했다. 김 변호사는 “A사가 해킹 당하지 않았거나 고난이도 공격으로 막기 불가능했다면 원칙적으로 책임이 없다”며 “A사는 B사에 다시 무역대금을 송금해달라고 할 수 있다”고 덧붙였다.

이메일 해킹 무역사기 사건에서 책임을 가리기는 쉽지 않다. 대부분 국제 무역거래에서 사고가 발생하면 해킹이나 악성코드 감염 증거 확보가 어렵다. 국내 기업 침해 사고 흔적을 발견하지 못하면 해외 기업을 조사해야 한다. 증거 PC가 그대로 보존되지 않으면 해당 국가를 방문해 침해 사고 조사나 디지털포렌식을 수행해야 한다.

디지털포렌식 전문기업 김진국 플레인비트 대표는 “해외에 있는 상대기업 PC를 확보해 침해 사고 흔적을 찾아 증거로 채택해야 한다”며 “디지털포렌식 전문가를 파견해야 하는데다 해당 기업 협조가 안 되면 증거를 찾기 어렵다”고 말했다. 그는 “국내서 원격으로 PC 내 침해 사고 흔적이나 증거를 발견하기엔 한계가 있다”고 덧붙였다.

범죄자를 검거해도 피해자금 회수는 다른 문제다. 대부분 피해기업은 사기 사건 발생 직후에는 피해를 알지 못한다. 한 달이 넘어야 인지하는 사례가 많다. 이미 자금이 다른 계좌로 나눠 빠져나가 세탁된다.

경찰청 관계자는 “이메일 해킹 무역사기는 해외 경찰과 국제 공조를 요청해야 하는데 빠른 대응이 되지 않는다”며 “다행히 범죄자를 잡아도 피해금액을 돌려받기 어려운 구조”라고 말했다.

법무부 관계자는 “이메일 해킹 무역사기는 수사기관에 의뢰해 범죄사실을 확인하고 구제받는 것이 최우선”이라며 “현실적으로 범인을 밝혀내기 어렵다면 민사적으로 상대방 회사를 상대로 소송 또는 중재를 제기해 손해배상을 청구한다”고 설명했다. 그는 “계약서에 당사자 간 유선상 변경에 동의하지 않으면 특정 계좌를 사용한다는 내용을 담으면 사건 발생 후 책임소재와 피해보상에서 유리하다”고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com