IRS, 피해자 전용 별도 이메일 마련 적극 신고 당부

세금 보고 시즌을 앞두고 개인정보를 빼내려는 사기가 극성을 부리면서 연방 국세청(IRS)이 W2 스캠(Scam) 경계령을 내렸다.

IRS는 17일 회사 간부를 사칭해 직원들의 개인 정보를 빼내려는 사기 이메일이 급증하고 있다며 W2를 관할하는 직원들 및 업주들에게 각별한 주의를 당부했다. 지난 해 IRS에 W2스캠 이메일과 관련한 신고 건수는 약 900건에 이른다. 이는 전년 100여건에 비해 9배나 증가한 수치다. 이들 중 사기 이메일에 속아 W2관리자가 실제로 직원들의 정보를 넘긴 경우는 200여건으로, 이로 인한 개인 정보 도용 피해자는 수십만 명에 이를 것으로 추산된다.

사기범들의 수법은 간단하다. COO같은 회사나나 학교의 재무 담당 간부 또는 경영진의 이름을 알아낸 다음 회사의 가짜 업무용 이메일을 만들어, 그들의 이름으로 페이롤(Payroll) 또는 W2 담당자에게 이메일을 보내 W2정보를 보내줄 것을 요청하는 것.
해당 회사나 기관의 도메인이 포함된 업무용 이메일인데다 사기범들이 실제 간부인 척 친근한 인사를 건넨 후 W2 정보를 요구하기 때문에 수신자들은 자칫 쉽게 속아 넘어갈 수 있다는 설명이다. 워낙 자연스럽게 접근해 정보를 빼가기 때문에 피해를 입은 뒤에도 수개월 동안 피해 사실을 인지하지 못해 사태 수습이 어려워지는 경우들도 다수 발생하고 있다.

W2폼에 적힌 이름, 주소, 소셜 시큐리티 넘버 등 직원들의 개인 정보는 이런식으로 빠져나간 후, 사기범들이 IRS에 세금 보고 및 환급액 수령하는 데에 악용된다. 심지어 간부를 가장해 정보를 빼낸 후에는 현금을 송금(Wire transfer)하라는 이메일까지 보내기도 한다는 것.

IRS는 피해를 막기 위해서는 업체들이 W2에 접근할 수 있는 권한을 일부 직원으로 제한하고, W2와 같은 민감한 자료나 재정 서류를 이메일로 보내기 전에 추가 인증 작업을 거치도록 하는 방안을 마련하는 것이 바람직하다고 덧붙였다.

IRS는 피해자들을 위한 별도의 이메일(dataloss@irs.gov)을 마련, 적극적인 신고를 당부하고 있다. 피해자들은 사태 해결을 위해 ‘W2Data Loss’라는 제목으로 정보를 도용당한 업체의 이름과 고용주 식별 번호인 EIN(Employer identification Number) , 담당자 이름, 연락처, 어떻게 자료를 도난당했는지에 대한 간단한 요약, 피해 규모 등을 이메일로 보내면 된다.

사기범들의 이메일을 받았으나 피해를 입지 않은 업체들은 ‘W2Scam’이라는 제목으로 사기 이메일 전문을 IRS(phishing@irs.gov) 로 보내면 된다.

<최희은 기자>