흔한 수법
- 실제 공급자와 똑같이 보이는 가짜 인보이스
- Business Email Compromise (BEC) — 공격자가 메일함을 장악해 결제 정보를 변조
- 급여 우회 — '직원' 행세를 하며 계좌 변경을 요청하는 가짜 이메일
- 파일 복호화의 대가로 송금을 요구하는 랜섬웨어
- 가짜 공급자 계좌 변경 통보
- 이사·임원을 사칭해 긴급 송금을 요구
즉시 해야 할 일
- 영향받은 공급자에게 가는 모든 결제를 즉시 중단하세요.
- 은행에 전화해 송금 환수·동결을 요청하세요.
- 이메일과 금융 시스템 비밀번호를 일괄 변경하고 MFA를 켜세요.
- 모든 증거를 보관하세요 (이메일, 헤더, 결제 기록).
- 내부 보고 — 대표, 재무, IT 담당.
- 고객·직원 개인정보가 노출되었을 가능성을 평가하세요.
신고처 (사업체용)
| 상황 | 신고처 |
|---|---|
| 사이버 사고 | ReportCyber (cyber.gov.au/report) |
| 금융 위법 | ASIC |
| 일반 사기 | Scamwatch (ACCC) |
| 사기·협박·도용 | 경찰 |
| 개인정보 유출 | OAIC — Notifiable Data Breaches scheme |
Notifiable Data Breaches (NDB) — 기본
개인정보가 노출되어 '심각한 피해'를 초래할 가능성이 있을 경우, 피해자 본인과 Office of the Australian Information Commissioner (OAIC) 모두에게 통지해야 합니다. 인지 후 30일 이내에 평가하고, 이후 즉시 통지해야 합니다. 적용 대상: 호주 정부기관, 매출 $3M 초과 사기업, 의료·신용·TFN 취급 사업체.
신고 및 자료
예방 체크리스트 (Top 5)
- 직원에게 피싱·BEC 패턴 인식 교육을 정기적으로 실시.
- 모든 이메일·은행·재무 시스템에 MFA 도입.
- 인보이스·공급자 계좌 정보 변경 시, 이미 알고 있는 번호로 전화해 검증.
- 백업·접근권한을 포함한 연간 사이버 보안 검토 실시.
- 이례적인 결제에 대한 내부 결재 절차 강화.