'공공기관' 창진원 피싱 당했다…의심 없이 1.7억 송금하게 한 수법

중소벤처기업부 산하 창업진흥원이 이메일 피싱(Phishing·통신 사기)에 속아 1억7500만원을 피싱범에게 송금한 것으로 나타났다. 정부 공공기관이 직접 피싱에 속아 송금까지 한 사례는 이번이 처음이다.

13일 관련업계에 따르면 창진원은 지난달 'K-스타트업 센터(KSC)' 사업을 진행하는 과정에서 선금(13만5000달러, 약 1억7500만원)을 피싱범 계좌에 송금했다. KSC는 창진원이 201개 스타트업의 해외진출을 돕기 위해 2989억원의 예산을 투입하는 사업이다.

창진원은 올해 3월 유럽계 액셀러레이터 레인메이킹과 사업협업을 논의했다. KSC는 해외 국가별로 현지 액셀러레이터와 파트너십을 맺고 K스타트업의 현지 진출 및 안착을 지원하고 있다. 창진원은 신규 파트너로 덴마크 액셀러레이터 레인메이킹을 선정했다. 2007년 설립돼 35개국에 지사를 두고 활동하고 있는 글로벌 액셀러레이터라 사업협업에 제격이라는 판단이었다.

KSC 국가별 파트너 액셀러레이터

사건은 창진원이 레인메이킹과 계약을 맺은 뒤 소통하는 과정에서 발생했다. 피싱범이 해킹을 통해 둘 사이 계약에 끼어든 것이다. 피싱범은 양측이 소통해온 메일을 모두 확인해 전후 맥락을 확인하고 창진원에 레인메이킹인척 행세한 것으로 전해진다.

이후 피싱범은 e-메일로 계약금액의 50%인 13만5000달러(1억7500만원)를 HSBC 은행 계좌로 송금해달라고 요청했다. 창진원은 6월 말 내부 승인을 거쳐 해당 계좌로 송금했다.

며칠이 지난 7월 5일, 창진원은 뒤늦게 송금한 계좌가 잘못됐다는 점을 인식했다. 레인메이킹 측으로부터 "선금을 왜 보내지 않느냐"는 연락을 받으면서다. 뒤늦게 사실을 인지한 창진원은 경찰에 수사를 의뢰했다.

창진원이 피싱을 당한 이유는 피싱범이 레인메이킹의 이메일 끝부분만을 교묘하게 바꿔 레인메이킹 행세를 했기 때문이다. 피싱범은 레인메이킹이 사용하는 이메일 주소 '@rainmaking.io' 아니라 끝부분만 살짝 바꾼 '@rainmaking-in.com'을 사용했다.


또 해킹을 통해 전후 이메일을 읽고 사업내용을 모두 아는척 한 만큼 피싱인 것을 인지할 수 없었다고 설명했다. 창진원 관계자는 "이메일을 포함해 화상통화로도 레인메이킹과 소통했었다"며 "그러나 피싱범이 메일 대화 내역까지 다 해킹해 조작한 인보이스(송장)까지 보내서 전혀 몰랐다"고 설명했다. 창진원은 피해사실을 확인한 후 경찰청에 수사를 의뢰한 상태다.

해당 예산은 창진원의 예산이 아니라 중소벤처기업진흥공단의 예산으로 확인됐다. KSC는 창진원과 중진공이 공동으로 운영하고 있다. 중진공 관계자는 "황당한 피해가 발생했다"며 "일단 경찰청을 통해 범인을 잡고 예산은 회수할 수 있도록 할 것"이라고 전했다.

[머니투데이 스타트업 미디어 플랫폼 유니콘팩토리]