공공기관 가짜 사업자번호,‘명함·공문’까지 위조... ‘선구매 후정산’ 물품 사기 기승

추석 대목 노린 ‘공공기관 직원 사칭’ 물품구매 사기 확산…중소기업·개인 피해 속출
요즘 보이스피싱 변종이 기업 현장으로 들어왔다. 단순한 전화기반 사기에서 한층 진화한 이 수법은 공공기관 직원을 그대로 베껴 만든 가짜 명함과 위조 공문, 심지어 허위 사업자등록번호까지 동원해 ‘물품 선구매→후정산’이 관행인 현장업체를 노린다. 최근 A업체가 당한 사례는 수법의 교묘함과 피해 확산 속도를 적나라하게 보여준다.

A업체가 받은 주문은 외형상 코레일(한국철도공사) 소속 담당자가 보낸 것처럼 보였다. 실제로 공사에 근무하는 직원의 이름과 직함이 표기된 명함이 공급업체에 건네졌고, 공문서 서식과 비슷하게 위조된 발주서가 함께 제출됐다. 구매가 시급한 장비 특성상 A업체는 ‘선 납품·후정산’ 방식으로 물품을 긴급 조달했고, 대금은 가짜 명의의 계좌로 송금됐다. 이후 확인 과정에서 코레일 내부에는 해당 발주·지시가 전혀 존재하지 않았고, 명함에 적힌 이메일 주소와 전화번호만 다른 ‘짝퉁’임이 드러났다. 코레일 측도 최근 이 같은 공사 직원 사칭 물품구매 사기 사례가 빈발하고 있음을 공식 경고했다. 

수법의 핵심은 신뢰의 복제다. 범죄조직은 (1) 실제 공공기관·기업 직원의 이름과 직함을 그대로 가져다 쓰고, (2) 통용되는 공문·명함 형태를 정교하게 위조하며, (3) 임박한 현장 운영상 필요를 이유로 ‘지금 당장’이라는 긴박감을 조성하고, (4) 가짜 사업자등록번호와 허위 계좌를 제시해 선입금이나 선납을 유도한다. 여기에 더해 범죄자와 짜고 있는 실제 공급업체(또는 통장 제공자)가 함께 연루돼 ‘연극’처럼 연출함으로써 피해자가 의심을 품기 어렵게 만든다. 실제로 최근 보도와 코레일의 안내문에서는 위조 명함·공문을 이용한 대금요구 사례가 반복 보고되고 있다. 

피해 확산을 부추기는 사회적·제도적 취약점이 존재한다. 중소·영세업체의 발주·결제 관행은 ‘선수금·선공급’이나 ‘현장 긴급조달’에 취약하고, 계약 확인 체계가 수작업·구두 중심으로 남아 있는 경우가 많다. 또한 공공조달 관련 정보(계약 담당자·업체 정보 등)가 온라인으로 공개되면서 범죄자들이 표적 정보를 쉽게 수집·악용할 여지도 커졌다. 최근 지방자치단체와 공공기관을 사칭한 사기 사건이 늘어난 배경에는 이러한 시스템적 노출이 일부 작용한다는 지적이 있다. 

수사·예방 측면에서도 난점이 많다. 경찰과 관계기관은 보이스피싱·사기 조직을 대대적으로 단속하고 다수의 검거 실적을 내고 있으나, 조직화·국제화된 범죄의 특성상 ‘사후 단속’만으로는 근절에 한계가 분명하다. 정부 차원의 전담 TF와 금감원(금융감독원)·방통위·검찰·경찰의 공조가 이어지고 있지만, 현장에서 느끼는 불안감은 여전하다.

금융감독원이 보이스피싱·불법사금융 척결 TF 등 대응체계를 가동한 바 있으나, 피해 억제에 필요한 선제적 차단(가짜 계좌의 신속 차단·가명계좌 근절 등)과 중소기업 대상 예방교육·매뉴얼 배포 등 실효성 있는 현장 대응은 여전히 보완이 필요하다는 현장 목소리가 나온다. 공권력의 단속 실적(검거)은 증가했지만 피해 발생을 원천적으로 차단하는 체계 전환이 시급하다는 평가가 적지 않다. 

◆예방을 위한 실무 체크리스트(현장 적용형)

발주·지시 확인은 절대 문자·메시지·명함 한 장으로 끝내지 말 것. 요청이 오면 기관 공식 대표번호로 걸어 실제 발주 여부·담당자 존재 여부를 확인하라(기관 홈페이지의 ‘문의’ 전화번호를 반드시 사용). 단, 발신자가 알려준 번호로 다시 걸지 말고 기관 공식번호로 직접 확인해야 함. 

담당자 이름만으로 신뢰하지 말 것. 직원 이름이 맞더라도 해당 직원과 반드시 직접 통화해 발주 사실을 확인하고, 가능하면 내부 결재라인(부서장·총무 등) 확인을 추가로 받을 것. 이메일 주소·전화번호가 다르면 특히 의심하라. 

사업자등록번호·계좌번호는 즉시 행정·금융 시스템으로 조회·검증하라. 홈택스 사업자조회, 은행의 기업계좌 확인 절차를 통해 사업자 소유 여부와 계좌 명의가 일치하는지 확인한다(거래관행상 가능하면 법인계좌·공식 결제경로 사용).

‘지금 당장’이라는 압박을 받을수록 의심하라. 긴급성을 강조하면 판단 시간이 줄어든다. 최소 두 차례(전화+문서) 확인하고, 가능하면 하루 정도의 여유를 두고 판단하라.

서류·명함은 스캔본을 이메일로 받아 소속기관의 공식 이메일 주소(도메인)로 재확인하라. 공공기관 공식 이메일은 보통 기관 고유 도메인을 사용하므로 도메인 불일치는 강력한 의심 신호다. 

내부적으로 ‘사칭 점검 매뉴얼’을 만들고, 모든 외부 발주·결제 담당자에게 해당 매뉴얼 숙지·실천을 의무화하라. 특히 영세·소상공인 대상 간단 체크리스트를 만들어 현장에 배포할 필요가 있다.

◆금융당국(금융감독원)의 역할과 한계 — 무엇이 더 필요한가

금감원과 관계 당국은 보이스피싱·가짜계좌 차단, 불법 사금융 근절, 이상거래 모니터링 강화를 위해 TF와 합동단속을 운영하고 있다. 다만 피해자 신고·사후 차단 중심의 대응은 실효성에 한계가 있다. 전문 조직이 합법적 시스템의 틈을 파고들어 가명계좌·타인 명의 통장을 이용하거나 해외 루트를 활용하면, 금융당국의 차단 속도만으로는 피해가 확산되기 전에 막기 어렵다.

현장에서는 ‘가짜 사업자등록번호’와 ‘가짜 명함’ 등 비금융적 위조 수단이 결합된 점이 피해 확산을 가속화한다고 본다. 이 때문에 금융감독원 차원에서는 (1) 계좌 개설·이체 시 기업·공공기관 명의 여부의 자동검증 기능 강화, (2) 대금 선이체 시 다중인증(기관 내부 확인 절차) 의무화 유도, (3) 공공기관·대형발주처의 공식 연락처·담당자 정보 공개 방식 개선(위조 방지용 메타데이터 포함) 등 보다 선제적·예방적 조치가 요구된다.

실제로 정부는 보이스피싱 대응 TF를 운영하며 기구 간 공조를 강화해왔으나, 피해 억제를 위해선 현장 중심의 예방·교육·시스템 개선을 병행해야 한다는 지적이 나온다. 

◆언론·공공기관·업계가 할 일

코레일처럼 공공기관은 공식 홈페이지·앱·공식 SNS를 통해 사칭 사례와 의심 장표(가짜 명함·공문 샘플)를 지속적으로 노출해 현장업체의 경각심을 높여야 한다. 지방자치단체와 중소기업 단체는 소속 회원사에게 즉시 적용할 수 있는 ‘발주확인 표준절차’를 배포하고, 금융기관과 협력해 의심계좌에 대한 신속 경보체계를 구축해야 한다.

언론은 단편적 피해 사례 보도에 그치지 말고 ‘어떻게 확인·차단할 수 있나’라는 관점의 심층 보도로 사회 전체의 대응 역량을 끌어올려야 한다. 코레일 등 공공기관의 사칭 경고 문구와 사례는 이미 다수 보도·공지되고 있으나 현장 적용률을 높이는 것이 관건이다.

마지막으로 당부한다. 기술의 발전은 범죄에도 도구가 되고 있다. 명함 한 장, 공문서 한 장에 속아선 안 된다. 발주 확인은 ‘시간을 사는 행위’이고, 그 시간 한 번이 피해를 막거나 최소화할 수 있다. 현장에서는 ‘의심→확인→문서화’ 절차를 반드시 남기고, 이상 징후가 포착되면 지체 없이 경찰에 신고하고 관련 기관(공공기관 발주처·금감원·지자체)에 통보해 2차 피해를 막아야 한다. 경찰과 금융당국도 노력을 지속하고 있으나, 결국 피해를 줄이는 가장 강력한 방어선은 ‘현장 한 사람 한 사람의 확인’이다.