사기 예방은 기술 문제가 아니라 생활 습관에 가깝다. 지갑을 여는 순간만 조심한다고 해결되지 않고, 계약서에 도장 찍기 전, 링크를 누르기 전, 업무 메일에 답장하기 전마다 몸이 먼저 반응하도록 만들어야 한다. 지난봄, 중소 IT 업체 한 곳에서 벌어진 일을 떠올린다. 담당자가 평소 거래하던 파트너사의 회계 담당자라고 믿고, 메일에 첨부된 변경된 계좌로 1,800만 원을 이체했다. 주소 한 글자가 다른 위조 도메인이었고, 메일바닥의 서명도 본문 글꼴과 살짝 어긋나 있었다. 모두가 업무에 토나와 바쁘고, 부탁의 톤이 자연스러웠기 때문에 피싱 판별 습관이 잘리지 않았다. 돈은 나갔고, 회수는 절반도 못 했다. 피해를 줄일 방법이 없었던 건 아니다. 전화로 재확인하는 습관, 결제 전 이중 승인, 위조 도메인 탐지 훈련 같은, 작지만 실행 가능한 장치를 미리 깔아뒀다면 결과가 달라졌을 것이다.
토나와는 올해 사기 예방 주간을 통해 이런 생활화된 장치를 조직과 개인에게 심어 보려 한다. 일주일 동안 다섯 개의 웹세미나 트랙과 실습형 자료 묶음을 공개하고, 현장에서 바로 적용할 수 있는 체크포인트를 나눈다. 복잡한 이론 대신 실제 사례, 화면 캡처, 메시지 스크린샷, 결제 단계별 점검 흐름처럼 손에 잡히는 재료를 준비했다.
지금 짚어야 할 사기 환경
지난 2~3년 사이 공격자는 더 조용해졌고, 더 오래 기다린다. 한 번에 크게 뜯어내기보다, 신뢰사슬을 건드려 사람을 흔든다. 대형 사건이 언론을 타지만, 일상 피해는 소액이 반복되는 형태로 퍼진다. 메신저 사칭으로 10만 원씩 여섯 번, 가짜 쇼핑몰에서 소액 결제 두세 번, 업무 메일에서 파일 암호를 물어보는 위장 문의처럼, 증상을 놓치기 쉬운 시나리오가 주력이다. 국내 신고 건수는 전년 대비 두 자릿수 증가세를 보인다는 요약 통계가 있지만, 중요한 건 각자 환경에서 어떤 형태가 치명적인지 식별해두는 일이다.
개인에게는 가족 사칭, 택배 안내, 환불 요청으로 위장한 스미싱이 빈번하다. 링크를 눌러 앱 설치를 유도하거나, 일회용 인증번호를 요구하면서 스마트폰을 원격 제어하는 방식이 흔하다. 사업자에게는 공급망을 파고드는 결제 변경 요청, 납품 일정 조정 메일에 숨은 악성 문서, 가짜 광고단가 제안으로 유도하는 링크 클릭 유도가 표적화되고 있다. 올해 들어 눈에 띄는 변화는 QR 기반 공격과 음성 합성 사기다. 행사장에서 QR 체크인을 흉내 내거나, 택배 반송 안내 스티커를 붙여 스캔을 유도하는 수법이 생겼다. 음성의 경우, 짧은 통화 녹음만으로도 상사의 말투를 재현해 이체를 종용하는 사례가 외국에서 먼저 보고됐고, 국내에도 유사 사례가 점점 올라오고 있다. 완벽한 방패는 없다. 하지만 언제, 무엇을 의심할지에 대한 기준을 공유하고, 확인 절차를 생활화하면 치명타를 피할 확률이 높아진다.
토나와 사기 예방 주간의 방향
토나와가 이번 주간을 꾸릴 때 가장 먼저 정한 원칙은 두 가지다. 첫째, 상식 수준에서 바로 쓸 수 있는 해법만 제시할 것. 둘째, 교육은 듣는 사람이 아니라 조직의 흐름을 바꿔야 의미가 있다는 것. 그래서 단순 강의만으로 끝내지 않고, 각 트랙에 실습과 점검표를 묶었다. 개인 사용자는 자신과 가족에게 적용할 간단한 습관 목록을, 사업자는 결제 승인과 공급업체 검증 흐름을 손봐서 바로 문서화할 수 있도록 돕는다. 사기 예방은 홍보 문구로 끝나면 효과가 없다. 결재선에 재확인 단계를 추가하고, 고객센터 스크립트에 분기 질문을 넣고, 자주 쓰는 메일 템플릿에서 링크 표기를 바꿔야 체감된다.
대상은 크게 네 부류다. 개인 이용자, 소상공인과 중소기업 실무자, 고객지원과 영업팀, 그리고 보안 담당자나 경영진이다. 같은 메시지도 듣는 위치에 따라 다르게 들린다. 예컨대, 보안팀은 도메인 유사도 측정을 시스템으로 해결하려 하고, 영업팀은 고객과의 관계가 나빠질까 봐 추가 확인을 주저한다. 교육은 이런 온도 차이를 인정하고, 각자의 언어로 설계했다.
웹세미나 트랙 소개
월요일 오전 트랙은 개인과 가족이 중심이다. 화면 공유를 통해 실제 스미싱 사례 15건을 함께 검토한다. 문자에서 맞춤법만 보는 습관을 버리고, 요청의 구조를 해체해보는 연습을 한다. 예를 들어, 환불을 받으려면 설치가 필요하다는 주장, 보이스피싱이 아니라고 안심시키는 문장, 연락을 독촉하는 초단기 마감 설정이 동시에 나타나는 패턴을 분석한다. 실습 도중에는 의심 문자를 캡처해 올리면, 강사가 진행 도중 바로 분해해 준다. 여기서 가장 반응이 좋은 부분은, 링크를 눌렀을 때 어떤 권한 요청이 뜨는지, 실제 악성 앱이 화면을 어떻게 가리는지 시연하는 대목이다. 눈으로 직접 보면 다음 번에 훨씬 빨리 감지한다.
화요일과 수요일에는 소상공인과 중소기업을 위한 트랙이 배치되어 있다. 매출과 재고, 광고비 처리 등 일상 업무 흐름에서 자주 터지는 지점을 따라가며, 결제 변경 요청과 가짜 세금계산서 수법을 다룬다. 실제 메일 원문을 바탕으로 가짜 SPF, DKIM 표식을 식별하는 화면을 보여주되, 기술 용어를 과하게 몰아붙이지 않는다. 보다 현실적인 해결책은 50만 원 이상 송금은 전화 재확인을 의무화하고, 공급업체 계좌 변경은 지정된 번호로만 접수한다는 내규를 문서화하는 일이다. 토나와가 제공하는 템플릿에는 역할과 책임, 예외 승인 방식을 포함한다. 예외가 생기는 순간 공격자가 파고들 여지가 생기므로, 예외의 기록과 보고 라인을 정리하는 것이 중요하다.
목요일에는 고객지원과 영업팀을 위한 트랙을 운영한다. 이 팀들은 실전에서 바로 고객을 보호하는 최전선이다. 콜 스크립트에 질문 하나를 더하는 것만으로도 피해를 크게 줄일 수 있다. 예를 들어, 환불을 문의하는 고객이 계좌번호를 불러줄 때, 기존 저장된 계좌인지 확인하고, 신규 계좌라면 사기 예방 절차에 따라 이메일 확인을 병행하도록 안내한다. 고객이 급하게 밀어붙이는 상황에서 친절하게 단호해지는 말투도 연습한다. 진정성 있는 거절은 태도의 문제가 아니라 문구 선택이다. 강의 중에는 실제 통화 녹취를 익명 처리해 나누고, 언성이 올라갔을 때 대화의 흐름을 진정시키는 몇 가지 고정 문장을 제시한다.
금요일 트랙은 보안 담당자와 경영진을 위한 심화 세션이다. 기술과 정책의 접점을 다룬다. 도메인 유사도 탐지, 메일 보안 게이트웨이의 DMARC 정책 조정, 다단계 인증의 예외 관리, 모바일 디바이스 관리에서의 사이드로딩 차단 같은 세부 조치를 벽에 걸린 정책 포스터가 아니라 운영 절차로 녹이는 방법을 이야기한다. 직원의 생산성과 보안 조치 사이의 균형도 솔직하게 따져본다. 링크 프리뷰 차단은 보안에는 좋지만 영업팀의 효율을 크게 깎을 수 있다. 이런 트레이드오프를 숫자로 평가하는 프레임워크를 제시한다. 예를 들어, 보안 조치가 도입되었을 때 평균 응답 시간이 몇 퍼센트 늘어나는지, 그로 인해 놓치는 매출이 얼마인지, 대신 막아낸 사기 비용이 얼마인지 비교할 수 있는 간단한 계산표를 공유한다.
등록과 참여 방법
참여 절차는 간단하게 정리했다. KST 기준 일과 중에 라이브로 진행되고, 예약자에게는 녹화본과 자료집이 제공된다. 계정은 개인 이메일이나 회사 이메일 모두 사용 가능하다. 아래 순서대로 진행하면 된다.
- 토나와 행사 페이지에서 원하는 트랙을 선택하고, 기본 정보와 연락처를 입력한다. 인증 메일의 확인 링크를 클릭해 참석자 정보를 확정한다. 일정 알림을 캘린더에 추가하고, 사전 설문 링크로 현재 대응 수준을 자가 평가한다. 라이브 당일 접속 링크로 입장하고, 실습 자료 키트를 내려받아 세션 중에 병행한다. 세션 종료 후 만족도 설문을 제출하면, 24시간 이내에 녹화본과 템플릿 자료를 이메일로 받는다.
현장에서 질문이 많은 편이라 Q&A 시간을 세션별로 15~20분 확보했다. 비공개 상담이 필요하면 행사 주간 오후 시간대에 소규모 라운드테이블을 연다. 참여 인원은 회차당 12명 내외로 제한하고, 사전 질문을 받아 가능한 깊게 들어간다.
실습형 교육 자료 묶음
자료는 종이와 화면 사이를 오갈 수 있도록 구성했다. 인쇄 가능한 체크카드, 모바일에서 보기 좋은 요약본, 현수막 형태의 포스터까지 포맷을 나눴다. 개인용 묶음에는 링크 판별 훈련지가 포함된다. 의심 링크 30개를 유형별로 나눠 실제처럼 클릭을 유도하고, 브라우저 주소창, 인증서 정보, 권한 요청 팝업을 근거로 위험 신호를 표시하도록 만든다. 20분만 투자해도 스스로의 패턴이 드러난다. 성급한 사람은 도메인 끝부분을 놓치고, 신중한 사람은 요청의 흐름에서 모순을 먼저 발견한다. 성향을 아는 것만으로도 취약한 지점에 경고장치를 달 수 있다.
사업자용 묶음에는 결제 보안 점검 표준 절차서가 들어 있다. 은행 이체, 카드 결제, 해외 송금 각각의 단계에서 확인해야 할 항목을 업무 흐름에 맞게 붙일 수 있도록 했다. 예를 들어, 카드 결제의 경우 고액 거래 시 발신자와 수령자 확인 통화, 고정된 문구의 확인 메일 발송, 이체 요청 시 매출 채권과의 매칭 여부 점검이 하나의 흐름으로 제시된다. 계좌 변경은 전화 재확인으로 끝나지 않는다. 신규 계좌 명의, 개설 시기, 실제 거래처와의 계약 문서 일치 여부를 본다. 작은 회사에서는 번거롭다고 느낄 수 있지만, 반복 가능한 서식으로 만들어두면 부담이 생각보다 크지 않다.
고객지원과 영업팀용 묶음은 대화 스크립트와 메시지 템플릿이 핵심이다. 요청을 거절할 때 쓸 수 있는 문장 10개, 의심 신호가 포착되었을 때 상급자에게 에스컬레이션하는 정해진 문구, 이메일로 남겨야 하는 사후 안내 문안을 포함했다. 문구는 단정하지만 공손하게 들리도록 손봤다. 예를 들어, "보안을 위한 확인 절차로, 기존 등록 계좌 외의 환불은 이메일 재확인이 필요합니다. 안내 메일을 3분 내로 보내드리겠습니다."처럼, 고객의 시간을 가늠해주는 표현을 섞는다. 단순히 안 됩니다가 아니라, 될 수 있게 만들되 절차의 이유를 설명하는 방식이 신뢰를 지킨다.
보안 담당자용 묶음은 시스템과 정책의 경계에서 필요한 실무 자료다. DMARC 정책 샘플, 의심 도메인 모니터링 쿼리, 모바일 디바이스에서의 알 수 없는 출처 차단 가이드, 그리고 교육 캠페인을 조직 전반에 전개할 때 필요한 커뮤니케이션 계획 초안을 담았다. 캠페인은 일회성 메일로 끝나면 효과가 없다. 주간 공지, 팀 리더 브리핑, 사후 퀴즈, 우수팀 포상까지 한 사이클로 묶어줘야 한다. 보안팀 혼자서 떠안지 않도록, 인사나 총무와 역할을 나누는 제안서도 포함했다.
현장에서 자주 마주치는 사례와 해법
소규모 카페를 운영하는 사장님에게 카드 단말기 업데이트를 가장한 연락이 왔다. 원격 접속을 허용하면 2분 안에 끝난다고 했다. 전화기 너머 목소리는 빠르고 친절했고, 매장을 닫은 늦은 시간이었다. 상대는 바쁠 시간을 피해 들어왔다. 원격 앱 설치 후 하루가 지나는 동안 소액 결제가 수십 건 발생했다. 단말기가 아닌, 사장의 스마트폰을 이용한 앱 결제였다. 이 경우, 사건 직후 할 수 있는 최선은 계좌 지급 정지와 함께 거래 내역을 신속히 모으는 일이다. 그리고 내부적으로는 원격 접속 앱의 설치 경로와 권한을 점검한다. 교육에서 강조하는 지점은, 원격 지원을 요청받았을 때 반드시 역으로 공식 번호로 다시 거는 습관이다. 그리고 단말기 업체는 원격으로 비밀번호를 묻지 않는다는 원칙을 직원 교육에 넣는다.
한 스타트업에서는 이사회 의장을 사칭한 요청 메일이 왔다. 다음 날 오전 9시까지 비상 자금 3억을 이체하라는 내용이었다. 영어로 쓰인 메일이었고, 의장의 평소 문체와 유사했다. CEO는 시차상 지금 전화를 걸기 어려울 것 같아 메일로만 움직였다. 공격자는 이런 심리를 노린다. 시간 압박, 권위, 미세한 시차. 교육에서는 이런 상황에서의 대체 확인 경로를 사전에 설계한다. 예컨대, 비상 결제는 메신저의 특정 보안 채널에서만 승인되고, 담당 두 명이 동시에 응답해야 진행되는 식이다. 귀찮아 보이지만, 이런 절차는 월 1회도 쓰지 않을 수 있다. 드물게 쓰는 절차일수록 문서로 명확히 남겨두고, 분기마다 훈련한다.
가족 메신저 사칭도 흔하다. 딸이 휴대폰이 고장 났다며 새 번호로 연락하고, 급히 돈이 필요하다고 한다. 최근에는 맞춤법과 말투까지 모방한다. 이때 가장 유효한 대응은 영상 통화 요청이다. 상대가 영상을 꺼리는 순간 신뢰는 급격히 떨어진다. 교육 자료에는 메신저에서의 확인 질문 목록이 들어 있다. 생일 같은 사적 정보 대신, 가족끼리만 아는 에피소드성 질문을 제안한다. 사진 속 배경 장소, 함께 갔던 식당 메뉴 같은, 검색으로 답하기 어려운 주제다. 사칭자는 대화 길이가 늘어날수록 약점을 드러낸다.
경영진과 리더를 위한 운영 팁
좋은 정책은 종이에만 머물지 않는다. 현장에서 부딪힌 다음에도 여전히 작동해야 한다. 결제 이중 승인 제도는 신속함을 해친다는 이유로 종종 무력화된다. 현장에서는 "이번 건만 예외"가 누적된다. 이를 막으려면 두 가지가 필요하다. 하나는 의사결정 흐름에 자연스럽게 녹아들도록 도구화하는 것이다. 이중 승인을 사내 메신저 워크플로로 만들어 클릭 몇 번에 할 수 있게 한다. 다른 하나는 예외의 흔적을 남기고, 예외가 반복되면 경영진이 직접 이유를 묻는 문화다. 예외에도 기준과 책임이 있어야 공정해진다.
측정도 중요하다. 사기 예방은 수치로 체감되어야 한다. 교육 전후 비교가 가능한 지표를 최소한으로 잡아두면 좋다. 팀 리더는 아래 항목을 분기마다 점검하도록 권한다.
- 의심 메일 신고 건수와 평균 대응 시간 결제 변경 요청 중 전화 재확인 비율 보안 교육 참여율과 사후 퀴즈 정답률 사기 의심 콜에서의 에스컬레이션 성공률 테스트형 피싱 캠페인 클릭률 변화
지표는 사람을 압박하려는 도구가 아니다. 현상을 보는 창이다. 예를 들어, 신고 건수가 늘었다면 교육이 경각심을 높였다는 뜻일 수도 있다. 클릭률이 낮아졌다면 긍정적이지만, 동시에 과도한 경계로 정상 업무가 지연되지 않는지 함께 본다. 균형을 맞추려면 각 지표에 상한선과 하한선을 두고, 지나치게 높거나 낮을 때 이유를 찾는 방식이 현실적이다.
보상과 피드백도 간단할수록 지속된다. 그달의 우수 신고 사례를 전사 메일로 칭찬하고, 커피 쿠폰 하나라도 바로 지급한다. 반대로, 반복적으로 절차를 무시했다면 비난보다는 코칭을 붙인다. 절차가 불편해서 어겼는지, 교육 자체를 놓쳤는지, 동기를 파악하는 편이 낫다.
법적 절차와 신고, 환급의 현실
피해를 입었을 때는 시간과의 싸움이다. 지급정지 요청, 계좌 추적, 카드사 승인 취소 등은 분 단위로 가치가 줄어든다. 증거의 보존이 관건인데, 채팅 내역, 이메일 원문, 통화 녹음, 앱 권한 기록은 되도록 원본 상태로 묶어둬야 한다. 스크린샷만 남기고 원문을 지우면 조사가 어려워진다. 회사라면 내부 사고 보고 체계를 통해 빠르게 의사결정을 내리고, 필요시 수사기관과 금융기관에 동시에 연락한다. 환급은 운과 시간에 크게 좌우된다. 소액 다건의 경우 회수가 어려운 편이지만, 초기에 지급정지까지 빨리 도달하면 일부라도 되돌릴 가능성이 생긴다. 토나와 자료에는 증거 보존 체크카드와 신고 절차 흐름도가 포함되어 있다. 평소에 한 번만 따라가 보면 막상 필요할 때 손이 덜 떨린다.
해외 거래가 섞인 사건은 더 복잡하다. 관할권 문제가 생기고, 은행 간 협조 시간이 길어진다. 이런 경우, 내부 의사결정 라인에 해외 법률 자문을 연결할 수 있는 창구를 미리 알아두면 유리하다. 스타트업이나 소상공인이면, 업종별 협회나 지역 상공회의소를 통해 기본 상담 라인을 파악해두는 것도 방법이다.
자주 받는 질문에 대한 짧은 답변
웹세미나에 개인 자격으로 참여해도 되는지 묻는 경우가 많다. 가능하다. 실습 자료의 일부는 개인용으로 최적화되어 있고, 가족과 함께 볼 수 있는 영상 버전도 제공한다. 사전 지식이 없어도 따라오는 데 문제가 없다.
녹화본은 언제까지 볼 수 있느냐는 질문도 잦다. 일정 기간 제한을 두고, 이후에는 핵심 자료만 남겨 두는 방식을 계획하고 있다. 보안 환경과 수법이 빠르게 변하므로, 너무 오래된 자료는 오히려 혼란을 준다. 대신 업데이트된 버전을 정기적으로 배포한다.
회사 차원에서 별도 시간이 어렵다며, 점심시간 30분만 활용해도 괜찮냐고도 묻는다. 가능하다. 25분 버전의 압축 세션과 5분 질의응답으로 구성된 경량 코스를 제공한다. 다만, 실습의 효과를 보려면 적어도 45분은 확보하는 편을 추천한다.
해외 지사와 함께 듣고 싶은 경우, 언어와 시차가 걸림돌이 될 수 있다. 번역 자막과 요약본을 제공하고, 시차가 큰 지역을 위해 녹화본 프리미어 상영회를 예약제로 연다. 기술적 제약보다 중요한 건 현지 팀 리더의 참여 의지다. 지역별로 실제 사례를 수집해 맞춤형 간단 자료를 추가하면 몰입도가 크게 오른다.
주간 일정과 운영 방식
사기 예방 주간은 월요일부터 금요일까지 이어진다. 매일 오전 세션은 10시부터 11시 30분, 오후 세션은 3시부터 4시 30분에 열린다. 각 세션은 60분 강의와 20분 실습, 10분 질문으로 구성된다. 하루에 같은 주제를 두 차례 반복하는 날도 있다. 낮 시간대 참여가 어려운 팀을 위해 저녁 7시에 짧은 요약 세션을 추가로 편성한다. 모든 시간은 KST 기준이다.
운영팀은 세션 시작 15분 전부터 접속을 받아 간단한 사전 점검을 돕는다. 헤드셋 마이크가 없는 경우 잡음이 심해 실습 참여가 어려울 수 있어, 가능하면 이어폰을 준비하길 권한다. 회사 네트워크에서 특정 사이트 접속이 제한되는 경우도 있어, 사전에 테스트 링크를 제공한다. 참여 인원이 많을 때는 질문을 채팅으로 받아 공통 질문을 우선 처리한다. 개별 사례 상담은 라운드테이블이나 오피스아워로 안내한다.
토나와가 중요하게 보는 디테일
토나와는 오래전부터 사용자 행동의 작동 원리에 집중해 왔다. 기술은 중요하지만, 결국 링크를 누르는 건 사람이다. 그래서 교육 자료에는 인간적 디테일을 살렸다. 현장에서 바로 읽히는 문구, 실제로 눌러보고 싶은 버튼, 문서의 빈칸을 채우면 바로 내 회사 문서가 되는 서식들. 작은 이질감, 어색한 공백, 어투의 미묘함 같은 감각도 다룬다. 오탈자 하나로 사기를 단정하지는 않지만, 여러 신호가 겹칠 때 몸이 알아차리도록 훈련한다.
또한 실패를 숨기지 않는다. 테스트형 피싱에서 클릭률이 높게 나와도, 그것이 출발점일 뿐이라는 메시지를 분명히 한다. 열린 문화가 있어야 실제 사고가 터졌을 때 보고가 빨라진다. 보고가 빨라야 피해를 줄인다. 누구든 실수할 수 있고, 실수 직후의 반응이 조직 문화를 드러낸다. 이 점이야말로 사기 예방의 핵심 역량이다.
마지막 안내와 참여 권유
사기 예방 주간은 일회성 행사가 아니라, 향후 분기 단위 캠페인의 출발점으로 설계되어 있다. 올해 상반기에는 메시지 기반 사기와 결제 보안을, 하반기에는 계정 탈취와 모바일 디바이스 보안을 중심으로 이어갈 계획이다. 참여한 팀은 이후 분기 캠페인에 우선 초대하고, 업데이트된 자료를 자동으로 제공한다. 가능하면 팀 단위로 함께 참여하길 권한다. 교육을 듣고 곧바로 팀 내 규칙을 개정하면, 효용이 가장 높다.
등록 페이지는 토나와 공식 홈페이지 행사 섹션에서 확인할 수 있으며, 단체 등록 문의는 별도의 연락처로 받는다. 일정이 빡빡한 팀을 위해 맞춤형 온사이트 워크숍도 상시 지원한다. 필요하면 사전 진단 설문을 바탕으로 현재 상태를 점수화해, 어디부터 건드릴지 로드맵을 제안한다.
사기는 우리 일상의 빈틈을 통해 들어온다. 빈틈은 완전히 없앨 수 없지만, 작고 구체적인 습관으로 충분히 좁힐 수 있다. 토나와의 사기 예방 주간이 그 습관을 만드는 첫걸음이 되길 바란다. 한 주만 제대로 투자하면, 올해 남은 시간 내내 비용과 불안을 줄일 수 있다. 눈앞의 계약과 매출을 지키는 일, 가족의 일상을 지키는 일이 동시에 가능하다. 교육장에서 만나자.