"거래처가 갑자기 계좌를 바꿨는데요"
오래 거래하던 해외 바이어에게서 메일이 옵니다. "우리 은행 계좌가 바뀌었으니 이번 대금은 새 계좌로 보내달라"는 내용이죠. 이메일 주소도, 서명도, 로고도 평소와 똑같습니다. 그대로 송금했는데 — 며칠 뒤 진짜 바이어가 "대금이 안 들어왔다"고 연락합니다.
전형적인 이메일 해킹 무역사기입니다. 그리고 이건 드문 일이 아닙니다. 한국무역보험공사(K-SURE)에 따르면 최근 3년간 373건의 무역사기 피해가 집계됐습니다. 한 번 나간 국제 송금은 되돌리기가 매우 어렵기 때문에, 무역사기는 '당하고 나서'가 아니라 '당하기 전에' 막아야 합니다.
이 글은 KOTRA·한국무역보험공사 등 공식 자료를 바탕으로, 실제 무역사기 유형과 예방법을 정리합니다.
이 글은 일반적인 예방 정보입니다. 실제 사기 정황이 의심되면 즉시 거래은행(지급정지)·경찰(사이버수사)·KOTRA·무역보험공사 등 공식 기관에 문의하세요. 개별 사안의 법적 판단은 전문가와 상담해야 합니다.
1. 무역사기, 어떤 유형이 많나
KOTRA가 해외 무역관을 통해 접수한 2023년 무역사기 사례를 유형별로 보면 대략 이런 분포였습니다.
| 유형 | 건수(2023, KOTRA 접수 기준) |
|---|---|
| 서류위조 | 29건 |
| 선적불량 | 25건 |
| 결제사기 | 20건 |
| 이메일사기 | 17건 |
| 금품사기 | 15건 |
| 불법체류 | 2건 |
| 기타 | 10건 |
특정 한 가지가 아니라 여러 수법이 골고루 쓰인다는 게 핵심입니다. 이제 대표적인 것들을 하나씩 봅니다.
2. 이메일 해킹 사기 (BEC) — 가장 교묘하다
국제적으로 BEC(Business Email Compromise, 비즈니스 이메일 침해) 라 불리는 수법입니다. 작동 방식은 이렇습니다.
- 해커가 수출자 또는 바이어의 이메일을 해킹하거나, 한 글자만 다른 유사 도메인을 만듭니다 (예:
example.com→example-com.net) - 상당 기간 조용히 메일을 모니터링하며 거래 규모·결제 시점·차기 발주 정보를 파악합니다
- 결제가 임박한 결정적 순간에 수출자로 위장해 "기존 계좌를 못 쓰게 됐으니 제3의 은행으로 보내달라"고 요청합니다
- 수입자가 유선·영상 확인 없이 그대로 송금 → 대금이 사기범 계좌로
여기서 무서운 건, 해커가 수출자의 명판·직인이 찍힌 인보이스(PDF) 를 입수해 서류까지 위조한다는 점입니다. 진짜와 구분하기 어렵습니다.
예방 — '계좌는 안 바뀐다'를 원칙으로
- 결제계좌 불변경 원칙: 계좌 변경 요청은 그 자체를 의심하세요. K-SURE도 이 원칙을 강조합니다.
- 아웃오브밴드(out-of-band) 확인: 계좌 변경·긴급 송금 요청을 받으면, 이메일에 적힌 번호가 아니라 계약서·공식 홈페이지 등 독립된 경로로 확인한 번호로 유선·영상통화해 재확인하세요. 이게 가장 확실한 방어입니다.
- 도메인 확인 습관화: 발신 주소의 철자·도메인·회신(reply-to) 주소를 매번 확인
- 이메일 보안 강화: 메일 계정 2단계 인증(MFA), 비밀번호 주기적 변경, 외부발신 표시
- 이중 승인: 계좌 변경·고액 송금은 담당자 한 명이 아니라 두 사람이 확인하도록 사내 절차화
3. 서류위조 사기
거래에 쓰이는 서류 — 송금증(입금영수증), 수표, 선하증권(B/L), 원산지증명서, 사업자등록증 등 —을 위조하는 수법입니다. 목적은 다양합니다.
- 가짜 송금증을 보내 "이미 입금했다"고 속이고 물품을 먼저 받아 편취
- 위조 서류로 거래의 진실성을 꾸며 신뢰를 얻은 뒤 사기
- 관세 회피, 상품 가치 조작 등
예방
- 송금은 반드시 본인 거래은행 계좌에 실제 입금됐는지 직접 확인 (상대가 보낸 '송금증 이미지'를 믿지 말 것)
- 선적 서류는 발급 기관·선사에 진위 확인
- 선(先)입금 후(後)선적 조건을 기본으로, 신규 거래는 특히 보수적으로
4. 결제사기 · 선적불량
- 결제사기: 물품을 받고 대금을 안 주거나, 외상(신용) 거래를 유도한 뒤 잠적
- 선적불량: 대금을 받고 물품을 안 보내거나, 샘플과 전혀 다른 불량품을 보내는 경우
특히 "일면식도 없는 바이어가 과도하게 좋은 조건, 대량 주문, 선금" 을 제시하며 거래를 급하게 몰아붙이면 의심해야 합니다. KOTRA 매뉴얼도 이런 정황을 위험 신호로 꼽습니다.
예방 — 거래 전 신용검증이 8할
- 최소 두 개 이상의 채널로 거래기업의 실존·신용도 검증 (신용정보, 재무제표, 사업장 소재지, 전화, 이메일 등 종합)
- 상대가 우리 수출입 물량을 감당할 규모인지 확인
- 웹사이트는 위조가 쉬우니, 연락처·담당자의 진위를 별도로 검증
- 기존 거래처라도 경영 악화가 있을 수 있으니 주기적으로 신용조사
- 외상 거래 전환은 상대 자금력을 반드시 고려
5. 명의도용 사기 — 특히 조심
최근 늘고 있는, 그리고 무역보험으로도 보장받기 어려운 유형입니다. 실존하는 우량 기업·기관의 명의를 사칭해 물품을 편취합니다. K-SURE가 지목한 전형적 특징은 이렇습니다.
- 선진국의 우량 바이어를 사칭한다
- 물품을 제3국으로 선적해달라고 요청한다
- 수출자를 안심시키려고 무역보험 활용을 적극 권유한다
"유명한 회사가 먼저 연락해왔고, 무역보험까지 권하니 안전하겠지"라고 방심하게 만드는 게 노림수입니다. 사칭이 의심되면 그 기업의 공식 대표 연락처로 직접 실재 여부를 확인해야 합니다.
6. 당했다면 — 즉시 행동요령
시간이 생명입니다. 송금 직후라면 되돌릴 여지가 조금이라도 있습니다.
- 거래은행에 즉시 지급정지 요청 — 가장 먼저, 가장 빨리
- 경찰 신고 — 이메일 사기라면 악성코드에 감염된 이메일 원본을 그대로 보존한 채 관할 경찰서(사이버수사) 신고 (서울지방경찰청 안내)
- 거래 상대에게 유선으로 사실 통지 — 상대 계정도 뚫렸을 수 있음
- KOTRA·한국무역보험공사에 문의 — 대응 및 보상 가능 여부 확인
- 사내 IT·보안 점검 — 계정 비밀번호 변경, 침해 범위 파악
정리
[주요 무역사기 유형 (KOTRA 2023 접수 기준)]
서류위조 · 선적불량 · 결제사기 · 이메일사기 · 금품사기 · 명의도용
[이메일 해킹(BEC) 방어 핵심]
- 결제계좌 불변경 원칙
- 계좌변경·긴급송금 → 독립 경로 번호로 유선/영상 재확인
- 도메인·회신주소 확인, 메일 2단계 인증
- 고액·계좌변경은 이중 승인
[거래 전]
- 최소 2개 채널로 신용검증(재무제표·소재지·연락처 등)
- 과도한 조건·급한 대량주문·선금 유도는 의심
- 명의도용: 우량사 사칭+제3국 선적+무역보험 권유 = 경계
[당했다면]
① 은행 지급정지 → ② 경찰 신고(메일 원본 보존)
③ 상대 유선 통지 → ④ KOTRA·무역보험공사 문의
마치며
무역사기는 어수룩한 사람만 당하는 게 아닙니다. 오히려 오래·크게 거래하는 기업일수록 표적이 됩니다. 노리는 건 방심하는 '결정적 한 순간'이니까요. 완벽한 방어는 없지만, "계좌 변경은 반드시 전화로 재확인한다", "거래 전 최소 두 경로로 검증한다" 는 두 가지 습관만으로도 대부분의 사기는 걸러집니다. 거래처를 의심하는 게 실례 같아도, 그 한 통의 확인 전화가 회사를 지킵니다.
D&B는 한국 중소기업의 해외 바이어 발굴과 거래처 검증을 데이터 기반으로 지원합니다.