29일부터 시작되는 세금 보고 시즌을 맞아 회계 법인 등 세금 보고 대행 업체 및 전문가들을 노리는 피싱 사기가 극성을 부리고 있다.

연방국세청(IRS)은 회계사(CPA)와 세무사(EA) 등 세금보고 대행자를 노리는 이메일 피싱 사기로 다수의 피해자들이 발생하고 있다며 주의를 당부했다. 이들 사기범들은 허위 세금 보고를 통해 납세자들의 환급금을 가로채기 위한 목적으로 납세자들의 개인 정보가 저장된 세금보고 대행자들의 컴퓨터를 노리고 있다.

9일 IRS에 따르면 사기범들은 고객이나 IRS 온라인 서비스(e-Services)로 가장해, 세금보고 대행자들에게 웹사이트 링크가 포함됐거나 파일이 첨부된 이메일을 보내, 고객 정보를 빼내는 수법을 쓰고 있다.

링크나 파일을 클릭하는 순간 사기범들이 심어 놓은 악성 파일이 컴퓨터 소프트웨어에 침투해 수천개의 고객 정보가 고스란히 사기범들에게 노출되는 것.

워낙 이메일 내용이 그럴듯해 피해가 계속되고 있다는 것이 IRS의 설명이다.
IRS가 공개한 내용에 따르면, 사기범들은 이메일을 통해 ▶새해 인사를 건넨 뒤 담당 CPA의 갑작스러운 사망으로 세금 보고를 도와 달라며 비용을 묻거나 ▶친구 소개로 연락했는데 사무실이 전화를 안받아 이메일을 보낸다며 연락을 달라고 하거나 ▶업소록에서 정보를 봤는데 세금 보고를 도와달라는 등의 방식으로 고객으로 가장해 자연스럽게 접근한다.

세금보고 대행자가 답장을 하면, 세금 보고에 필요한 개인 정보라고 속여 악성 코드가 담긴 링크나 파일을 첨부한 이메일을 보내 클릭을 하도록 유도함으로서, 컴퓨터 내에 저장된 기존 고객들의 이름과 주소, 소셜 시큐리티 넘버, 이메일 주소 등 정보를 빼내는 것.

고객 뿐 아니라 IRS의 온라인 서비스로도 가장해 납세자들의 개인 정보를 노린다.
세금보고 소프트웨어를 업데이트해야 한다며 이메일을 보내 수신자의 ID와 패스워드를 요구하는 수법이다. 자칫 사기범의 지시를 따를 경우 ID와 패스워드가 도난당하게 되며 세금보고 대행자의 온라인 파일링 정보번호(EFIN)가 노출되는 것.

EFIN는 사기범들이 허위 세금보고 서류를 작성해 IRS에 보내 세금 환급금을 수령하는 데에 이용된다.

피해를 입지 않기 위해서는 링크를 클릭하거나 첨부된 파일을 열어볼 것을 요구하는 수상한 이메일은 즉시 삭제하고, IRS의 온라인 서비스를 제때 업데이트하는 것을 잊지 말아야 한다.

이외에도 IRS는 직원들에게 미리 이메일 사기의 예방법을 교육시키고, 요청하지 않았음에도 IRS나 IRS 관련 기관에서 발송했다며 도착한 수상한 이메일은 phishing@irs.gov로 보고하는 것이 바람직하다며 세금보고 대행자들에게 당부했다.

<최희은 기자>