지역별 뉴스를 확인하세요.

소득세 신고 앞두고 ‘W-2 사기’ 주의보

국세청 주의보 발령
수백여 기업·기관 피해

오는 29일부터 시작되는 소득세 신고 시즌을 앞두고 국세청(IRS)이 최근 기승을 부리고 있는 ‘급여지급내역서(W-2) 사기(Scam)’에 대한 각별한 주의를 당부했다.

18일 IRS가 발표한 주의보에 따르면 ‘W-2 스캠’은 사기범들이 BEC·BES 등으로 알려진 비즈니스 e메일 해킹 기술을 사용해서 회사 경영진이나 임원을 가장한 e메일을 급여 담당 부서 직원에게 발송해 모든 직원의 W-2 양식 사본을 보내라고 요구하는 수법이다. W-2 양식에는 직원들의 이름·주소·사회보장번호·소득·원천징수액 등이 모두 나와 있기 때문에 이 정보를 빼낸 사기범들은 허위로 소득세 환급을 받거나 이 정보를 온라인 암시장에서 판매한다. 일부 사례에서는 정보를 빼낸 해커들이 다시 연락해 온라인으로 송금을 요청한 경우도 있는 것으로 알려졌다.

2016년 소득세 신고 시즌부터 적발되기 시작한 이 사기 수법은 그 해에는 100여 건이 보고됐으나, 지난해에는 그 대상이 일반 기업 외에도 학교·병원·비영리단체 등으로 무차별적으로 확대되면서 IRS에 e메일로 신고된 사례만 900건이 넘으며 200여 기업·기관이 실제 피해를 본 것으로 파악됐다. 이에 따라 이들 기업에 고용된 납세자들의 개인정보가 유출된 것은 수십 만 건에 이르며 이 가운데 수천 명이 실제 피해를 입은 것으로 알려졌다.

이와 관련 IRS는 고용주들이 해당 기업의 급여 담당자들에게 이 사기 수법을 주지시켜 피해를 당하지 않도록 예방하고 또 의심스러운 e메일을 받은 담당자는 반드시 송신자로 기재된 경영진이나 임원에게 e메일 발송 사실을 확인할 것을 권고했다.

IRS는 ‘W-2 스캠’ e메일을 받았거나 정보를 제공했을 경우 고용주가 즉시 IRS에 신고해야 직원들의 피해를 최소화할 수 있다며 신고요령을 제시했다.

만약 사기 e메일은 받았지만 정보 유출 피해는 입지 않았을 경우에는 IRS의 신고 e메일 계정(phising@irs.gov)으로 전체 사기 e메일이 보이도록 보내야 한다. 이때 제목란에는 ‘W2 Scam’이라고 써야 한다.

반면 W-2 데이터가 유출된 피해를 입은 경우에는 별도의 e메일 계정(dataloss@irs.gov)으로 신고해야 한다. 이때는 제목란에 ‘W2 Data Loss’라고 기재해야 하며 직원 개인 신분을 확인할 수 있는 어떠한 데이터도 첨부하지 말아야 한다. 대신 기업체의 이름, 사업자 등록번호(EIN), 담당자의 이름과 전화번호, 데이터 유출 경위, 피해 예상 직원의 규모 등을 IRS에 전달해야 한다.

박기수 기자