AI와 디지털 기술 발전은 기업의 결제 효율을 향상시키는 한편, 사이버 범죄자에게 더 정교한 수단을 제공하며 지불 사기의 양상을 고도화시키고 있다. 대표적으로 BEC(Business Email Compromise)와 같은 사기 유형은 송금, 수표, ACH 등 다양한 결제 수단을 표적으로 삼아 피해를 확산시키고 있다. 이러한 환경에서 지불 사기에 대한 예방 및 대응 전략은 보안 기술뿐만 아니라 내부 통제와 교육 강화까지 포괄하는 종합적 접근이 요구된다.

지불 사기 피해 비율 여전히 79%... BEC·공급업체 사칭 급증

글로벌 금융 비즈니스 분석 기업 AFP(Association for Financial Professionals, CEO 짐 카이츠)가 2025년 1월에 다양한 규모와 산업 분야를 대표하는 521명의 기업 실무자를 대상으로 2024년에 각 조직이 겪었던 지불 사기에 대한 설문 조사 결과를 발표했다.

이번 조사에 따르면, 2024년 조직의 79%가 지불 사기 시도 또는 실제 피해를 경험했다고 응답했다. 이는 2023년보다 1%포인트 낮아졌으나 여전히 심각한 수준이다. 가장 두드러진 수법은 BEC로, 63%의 기업이 관련 사기를 경험했으며, 특히 이메일 스푸핑이 가장 흔한 방식으로 나타났다.

BEC 유형 중 공급업체 사칭은 2023년 대비 11%포인트 증가한 45%로 나타났으며, 이는 범죄자가 기존보다 더 교묘한 방식으로 신뢰를 위장하는 공격을 증가시키고 있음을 보여준다. 수표 기반 사기도 여전히 높은 수준으로, 63%가 수표를 통한 사기 피해를 겪었다고 응답했다. 그럼에도 불구하고 75% 이상의 기업은 향후 2년간 수표 사용을 줄일 계획이 없다고 답해 대응 미흡 우려가 제기된다.

송금 및 ACH 대상 공격 증가... 고위 임원 사칭은 감소

2024년에는 BEC 공격의 주요 대상이 송금으로 나타났으며, 응답자의 63%가 이를 지목했다. 이는 2023년 39%에서 크게 증가한 수치다. ACH 크레딧 대상 공격도 전년 대비 증가하여 47%에서 50%로 소폭 상승했다. 반면, 고위 임원을 사칭해 자금 이체를 유도하는 전통적인 BEC 사기는 57%에서 49%로 감소했다.

그러나 제3자 사칭 사기는 여전히 가장 빈번하게 발생하는 유형으로, 전체 응답자의 63%가 이를 경험했다고 밝혔다. 이는 신뢰 기반 공격의 트렌드가 여전히 유효하다는 것을 보여준다.

자금 회수율 하락...사기 대응 체계 강화 필요

결제 사기로 인해 피해를 입은 자금 중 75% 이상을 회수한 기업은 2023년 41%에서 2024년 22%로 큰 폭 감소했다. 반면, 최대 75%까지 회수한 기업은 58%로, 전년의 29%에서 상승해 부분적 회복은 가능했음을 보여준다. 이는 사기 탐지 및 회수 프로세스의 정교화 필요성을 시사한다.

AFP의 사장 겸 CEO인 짐 카이츠(Jim Kaitz)는 “조직들이 지불 사기 방지에 계속 경계를 늦추지 않고 있지만, 사기꾼들이 AI 및 기타 기술의 도움으로 더욱 정교해짐에 따라 많은 조직들이 여전히 사기의 피해자가 되고 있다.”라며 “사기꾼보다 앞서 나가기 위해서는 조직들이 직원들에게 사기 탐지 교육과 사기 완화 도구를 제공하는 것을 우선순위로 삼아야 한다.”라고 지적했다.