캐나다의 한 포장재 제조업체가 이메일 사칭 사기로 20만 달러 이상을 도난당했다며 법적 대응에 나섰다. 회사 측은 해커들이 거래처 보험 중개인을 사칭해 송금 계좌 정보를 바꾸는 방식으로 거액의 자금을 가로챘다고 주장하고 있다.

 

퀘벡 소재 포장재 제조업체 Pro-Pals Industries Ltd.는 지난 5월 11일 마니토바 왕립법원에 소송을 제기했다. 소송 대상에는 신원이 확인되지 않은 ‘존 도(John Doe)’와 ‘제인 도(Jane Doe)’ 외에도 Canadian Imperial Bank of Commerce가 포함됐다.

 

회사는 이메일 사기를 통해 빼돌려졌다고 주장하는 20만3,664달러의 반환과 함께 손해배상을 요구하고 있다.

 

소장에 따르면 사건은 올해 2월 시작됐다. 프로-팔스는 보험 중개인으로부터 총 20만 달러 규모의 청구서를 받은 뒤, 며칠 후 동일한 중개인을 사칭한 이메일을 추가로 수신했다.

 

문제는 이메일 주소였다. 겉보기에는 정상 주소와 거의 동일했지만, 실제 공식 도메인인 “.ca” 대신 “-ca.com”이 사용된 것으로 나타났다.

 

해당 이메일은 보험 중개인의 은행 정보가 변경됐다며, 미지급 금액을 새로운 계좌로 송금해 달라고 요청했다. 이어 추가 이메일에서는 기존 계좌가 해외 송금 전용이라며 새 계좌 사용을 재차 안내한 것으로 전해졌다.

 

회사 측은 이메일 제목과 첨부된 청구서 양식까지 기존 거래와 동일해 의심하지 못했다고 주장했다.

 

프로-팔스는 결국 2월 13일 해당 계좌로 전액을 송금했다. 그러나 실제 보험 중개인이 한 달 뒤 미수금 문제를 문의하면서 사기 사실이 드러났다.

 

조사 결과 자금은 마니토바주 카먼 지역의 CIBC 지점 계좌로 송금된 것으로 파악됐다.

 

소송장에 따르면 해커들은 두 회사 간 이메일 통신을 장기간 감시하며 거래 흐름을 파악한 뒤, 적절한 시점에 가짜 결제 요청을 삽입한 것으로 추정된다.

 

회사는 현재 법원에 ▲문제 계좌 동결 ▲자금 추적 ▲계좌 개설 관련 자료 공개 ▲회수 가능한 자금 반환 등을 요청한 상태다. 또한 사기와 허위 진술에 대한 징벌적 손해배상도 청구했다.

 

Canadian Anti-Fraud Centre는 이번 사건과 같은 수법을 ‘지급금 우회(payment redirection) 사기’로 분류하고 있다. 이는 특정 기업이나 직원을 노리는 스피어 피싱 공격의 대표적 유형이다.

 

센터 관계자인 Jeff Horncastle는 “이 유형의 사기는 캐나다에서 가장 피해 규모가 큰 금융 사기 중 하나”라며 “2025년 한 해에만 약 6,800만 달러의 피해가 접수됐고, 2026년 들어서도 증가세가 이어지고 있다”고 설명했다.

 

그는 특히 범죄 조직이 실제 거래 흐름과 업무 환경을 철저히 분석한 뒤 공격을 시도한다고 경고했다.

 

“직원 입장에서는 평소 거래처와 주고받던 이메일처럼 보이기 때문에 의심하기 어렵습니다. 특히 바쁜 업무 환경에서는 작은 주소 차이를 놓치기 쉽습니다.”

 

전문가들은 기업들이 송금 전 반드시 거래처 등록 연락처로 직접 확인 절차를 거쳐야 하며, 직원 대상 피싱 대응 교육도 정기적으로 실시해야 한다고 강조하고 있다.

 

혼캐슬은 “사기 피해는 초기 대응 속도가 매우 중요하다”며 “피해 사실을 빠르게 금융기관과 경찰, 사기방지센터에 신고할수록 자금 회수 가능성이 높아진다”고 조언했다.

 

현재까지 피고 측은 법원에 공식 답변서를 제출하지 않았으며, 사건의 구체적인 사실관계는 아직 재판에서 검증되지 않았다.

 

 

*CTV뉴스의 글을 번역,편집한 것입니다.