보안

‘사기를 위해 내부자 됐다’ 미국 출판계 피싱 사기를 통해 배울 점

Christopher Burgess | CSO 2022.01.17
미국 법무부는 FBI가 유선 금융사기(Wired Fraud)와 악성 신원 도용 혐의로 뉴욕 JKF 국제공항에서 이탈리아 국적의 필리포 베르나르디니를 체포했다고 5일(현지시간) 밝혔다. 베르나르디니는 출판사 직원을 사칭해 수년간 수백 건의 미공개 소설 원고와 기타 미공개 도서를 불법으로 취득한 인물이다.
 
ⓒ Getty Images Bank

베르나르디니 체포 소식과 함께 미 법무부가 공개한 2021년 7월 14일자 대법원 기소장에 따르면, 베르나르디니는 2016년 8월부터 2021년 7월까지 5년 동안 출판사 직원을 사칭하며 사기를 위한 자신만의 생태계를 구축하고, 5년간 수백 명의 피해자에게 미공개 원고를 탈취했다. 베르나르디니의 이력을 토대로 봤을 때, 베르나르디니는 유니버시티 칼리지 런던에서 2016년 출판 석사 학위를 받은 뒤 출판업계에서 경력을 시작하면서 사기 행각을 벌인 것으로 보인다.


출판사에 취업해 수집한 정보를 범죄에 악용

뉴욕타임즈에 따르면, 다양한 언어를 구사할 수 있었던 29세의 베르나르디니는 체포로 해직 당하기 전까지 출판사 사이먼 앤 슈스터(Simon & Schuster)의 직원으로 근무했다. 사이먼 앤 슈스터는 성명을 통해 “자사를 비롯한 모든 출판계가 작가의 지적 재산을 안전하게 보호하고 유지하는 일을 중요하게 여기고 있다. 이번 사건을 조사하고 용의자를 기소한 FBI에 감사를 표한다”라고 밝혔다.

베르나르디니가 사이먼 앤 슈스터에 입사한 것은 2019년 10월로, 5년간 수차례 직장을 옮겨 다녔다. 베르나르디니의 이력을 봤을 때, 비전문가라면 베르나르디니가 여러 인턴직을 포함해 직장을 자주 옮긴 것이 인맥을 확대하고 자신에게 적합한 자리를 찾는 과정이라고 볼 수도 있겠지만, 전문가의 눈에는 달랐다.
 
  • 사이먼 앤 슈스터, 저작권 담당 코디네이터 겸 어시스턴트(2019년~현재, 28개월)
  • 블룸즈버리 퍼블리싱(Bloomsbury Publishing), 로열티 담당 어시스턴트(2019년, 3개월)
  • 헤이 하우스(Hay House), 외국 저작권 담당 어시스턴트(2018년~2019년, 6개월)
  • 폴 투 윈 아시아(Pole to Win Asia), 현지화 및 QA 테스터(2018년, 3개월)
  • 미라 트렌차드(Mira Trenchard), 문학 스카우트 담당 인턴(2017년, 2개월)
  • 라 나브 드 테세오(La Nave de Teseo), 중국-이탈리아어 문학 번역가(2017년, 5개월)
  • 앤드류 눈버그 어소시에이츠(Andrew Nurnberg Associates), 외국 저작권 담당 인턴(2016년, 4개월)
  • 그랜타 퍼블리케이션스(Granta Publications), 편집 담당 인턴(2016년, 2개월)

기소장을 완벽하게 파악하고 이해할 수 있는 전문가는 베르나르디니가 경력을 쌓은 방식에서 악의적인 의도를 파악할 수 있다. 2016년부터 2021년까지 베르나르디니를 채용했던 출판사는 자신이 채용한 인턴과 계약직 직원, 직원이 ‘원고 도둑 사업’ 번창을 위해 출판사의 운영 방식을 터득하려 했다는 것을 눈치채지 못했을 것이다. 

베르나르디니는 자신의 경력을 통해 사기 행각에 활용할 수 있었던 주요 요소에 직접 접근할 수 있었다. 베르나르디니는 출판사에서 공격 표적을 감시하려고 했던 것이 아니라, 출판사 내부에서만 알 수 있는 미묘한 세부사항과 출판업에 종사하는 사람에 대한 정보를 수집했다. 미 법무부에 따르면, 베르나르디니는 이런 방법으로 출판사, 인재 발굴 에이전시, 문학 작품 발굴 에이전시에서 실제로 일하는 인물을 위장한 가짜 이메일 계정을 만들었다. 

5년간 8곳의 회사를 거친 베르나르디니는 출판사의 내부자로서 다음과 같은 배움의 기회를 얻었다.
 
  • 각 출판사가 높이 평가하는 작가
  • 작가, 에이전트, 동료, 경쟁사에 대한 연락처 정보
  • 각 개인과 기업의 커뮤니케이션 구현 방법
  • 금융 관련 세부 정보
  • 출판 프로세스

베르나르디니의 범죄는 뉴욕타임즈 기자 엘리자베스 A 해리스와 니콜 펄로스가 2020년 말 피싱 사기를 조사하면서 수면 위로 드러났다. 해리스와 펄로스는 2017년 스웨덴과 대만, 이스라엘, 이탈리아, 미국 출판계를 표적으로 한 피싱 사기를 조사했다. 이들 국가는 베르나르디니가 구사할 수 있는 언어를 사용하는 국가와 일치했다.

작가와 출판사가 가짜 이메일의 진위를 확인하도록 협력했을 수도 있지만, 사이먼 앤 슈스터의 성명을 참고하면 피해 작가와 출판사가 피싱 사기를 위해 협력하고 조율한 사례는 거의 없었던 것으로 보인다. 

미 법무부는 베르나르디니가 피해자를 속여 지적 재산을 공유하도록 유인하고, 지적 재산에 접근할 수 있는 로그인 정보를 취득하기 위해 피싱 이메일과 웹사이트 워터홀을 제작한 방법에 주목했다. 베르나르디니가 사용한 방법은 지적 재산 탈취 활동을 일종의 사업으로 만든 ‘해프라티 부부’를 연상케 한다. 해프라티 부부는 2003년부터 2005년까지 런던을 벗어나 이스라엘 출판계를 표적으로 삼아 표적을 감시하고, 자신들이 취득한 경쟁사 정보에 관심을 보인 기업에 불법 서비스를 판매했다. 베르나르디니는 유니버시티 칼리지 오브 런던에서 출판을 공부하면서 해프라티 부부의 사례를 연구한 바 있다.


베르나르디니의 범죄에서 CISO가 배울 점

바르나르디니는 실제 기업으로 위장할 목적으로 160개의 인터넷 도메인을 만들었다. 이들 도메인은 피싱 메일을 만들기 위한 수단으로, ‘m’ 대신 ‘rn’을 사용하는 등 잘 알려진 이메일 주소를 사칭하기 위해 눈을 속이는 단어를 조합했다. 따라서 베르나르디니와 업무 관계를 쌓았던 기업의 CISO는 즉시 피해를 평가해야 한다.

대부분 소규모 사업자거나 독립 계약자인 작가는 정보보안 인프라가 없기 때문에 이런 종류의 사기에 취약하다. 산업 분야를 막론하고 모든 기업은 IT팀 및 피싱 방지 서비스를 제공하는 업체와 함께 베르나르디니가 다년간 성공을 거뒀던 방식을 검토하고 평가한 후에 기업의 내부 인프라가 이런 방식에 취약하지 않도록 개선해야 한다. 제3자의 지적재산 보호를 책임지는 기업은 거래 및 업무 흐름을 깊이 파악하고 있어야 하며, 더욱 튼튼한 보호책을 제공해야 한다. 또한 개인 작가에게 작품을 더 안전하게 보내는 수단과 교육도 제공해야 한다.

사건을 맡은 다미안 윌리엄스 검사는 “필리포 베르나르디니는 출판계 인사로 위장, 퓰리처상 수상자 등의 피해 작가가 미출판 원고를 보내도록 만들었고, 이를 악용해 자신의 이익을 챙겼다. 베르나르디니는 연방 범죄 협의로 기소됐으며, 이번 사건은 출판업계에 경종을 울렸다”라고 말했다. 

한편 2021년 1월 6일 베르나르디니는 기소사실인부절차에서 무죄를 주장했다. 당시 보석금을 낸 베르나르디니는 출석을 약속하고 뉴욕시를 떠날 수 없도록 신체에 GPS 추적기를 부착한 상태로 풀려난 바 있다.

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.