부정(Fraud)

 

 

유형 분석
부정은 “내부자가 IT 기술을 이용하여 개인의 이득을 위해 조직의 데이터를 무단으로 삭제하거나 위·변조 또는 절취하는 행위 혹은 신분 도용범죄 를 유도하는 정보의 절취 행위”를 의미한다. 여기에는 “주민등록번호, 신용카드번호, 계좌번호 등과 같은 중요 정보를 절취, 판매하는 행위나 돈을 받고 범죄기록, 운전기록, 복지 상태 등과 같은 중요 데이터의 변조 행위 또는 정부나 금융기관의 자금을 절취하는 행위”가 해당한다.  <표 21>는 CERT Insider Threat Center에 보고된 내부자 부정의 주요 영향을 정리한 것이다. 내용에서 보듯이 내부자 부정은 다양한 방법으로 사회 전반에 영향을 미친다는 것을 알 수 있다.

 

<표 21> 내부자 부정의 영향

내부자 부정의 영향

- 5년간 금융기관으로부터 숨겨진 손실 약 700백만 달러 - 분실된 군사장비의 가치 8백만 달러 이상 - 합법적인 면허증을 취득할 수 없는 195명에게 운전면허증 발급 - 178명 고객의 신용기록 변조 혹은 삭제로 4백만 달러의 고위험 대출 승인 - 10개 금융기관과 25 소매상으로부터 335천 달러의 부정 손실 - 부정하게 받은 장애 수당 600천 달러 이상 - 정부로부터 가짜 업체에게 지급되는 손실 250천 달러 이상 - 부정하게 받은 복권 당첨금 약 63천 달러

* 출처: Cappelli, Dawn M, Andrew P Moore, and Randall F Trzeciak (2012), The CERT Guide to Insider Threats, Addison-Wesley.

 

 

CERT Insider Threat Center에 따르면 부정은 다음과 같은 특성을 가지고 있다.

 

- 직무 분야: 비 기술직, 비전문직, 기밀 정보 혹은 민감 정보에 접근할 수 있는 낮은 직급 직원
- 전·현직 구분: 재직 중인 현직 직원
- 연령: 10대부터 70대
- 성별: 남성 여성 동일 비율
- 목표: 개인식별정보 혹은 고객정보
- 접근권한: 인가된 접근
- 공격 장소: 직장 내
- 공격 시간: 업무시간 내

위의 특성에서도 알 수 있듯이, 지식재산 절취와는 달리 내부자 부정은 “고용된 현직 직원”에 의해서“인가된 접근”으로 “업무시간”에 개인의 이득을 위해서 부정을 수행한다. CERT에 따르면 이러한 내부자 부정에 따른 영향은 매우 큰 것으로 발표하고 있다. 특히, 내부자 부정의 영향은 “재정적인 영향”부터 “개인 사생활”, “국가 안정 보장”에 이르기까지 매우 광범위한 범위에 영향을 미친다. 또한, 재정적 손실은 “평균 4백만 달러를 초과”하는 것으로 분석하였다. 또 다른 특징으로 내부자 부정은 데이터 입력 직원 혹은 관리보조원과 같은 낮은 직급의 직원에 의해서 주로 발생한다.  
CERT에서는 내부자 부정의 유형 분석으로 크게 두 가지로 분류하였다. 첫 번째는 “내부자 부정 범죄의 일반적인 패턴 (General Patterns in Insider Fraud Crimes)”이고, 두 번째는 “조직범죄와 연루된 내부자 부정(Insider Fraud Involving Organized Crime)”이다

① 내부자 부정 범죄의 일반적인 패턴 (General Patterns in Insider Fraud Crimes)
내부자 부정과 다른 종류의 내부자 범죄와의 차이점은 범죄가 발생하는 “경과 시간”에 있다. 내부자 부정은 전형적으로 “오랜 기간 진행되는 범죄”인 반면에, IT 사보타주와 지식재산 절취는 “내부자가 이직하고 범죄가 발생”하는 “빅뱅(Big-bang) 사건”이라고 할 수 있다. 내부자 부정 범죄는 평균 “14개월”에 걸쳐서 발생하고 내부자 범죄의 50%는 “5개월” 이상 지속된다. 또한, 내부자 부정은 신용카드번호, 주민등록번호, 계좌번호와 같은 “중요 정보의 적은 양을 변조하거나 절취”하는 반면에, 전형적으로 “지식재산 절취는 많은 양의 정보를 절취”한다. 그러므로 내부자 부정의 경제적 이득은 제한적이고 그래서 조직이 발견하기 힘든 만큼 오랜 기간 동안 부정을 유지할 수 있다.
다른 특징 중의 하나는 “외부자와의 공모”에 있다. 내부자 부정의 약 “40%”는 적어도 “한 사람의 외부자와 범죄를 공모”하였다. 외부자가 내부자를 설득해서 범죄를 수행하도록 도와준 경우가 약 “25%”에 이르며 이 경우에는 외부자는 “고객정보”나 “개인식별정보”에 접근할 수 있는 “비 기술직”이고 “저 임금”의 내부자를 모집하였다.
또 다른 특징 중의 하나는 “내부자의 보강”이다. 내부자는 직장 동료인 다른 내부자를 모집에서 내부자 부정에 가담시켰는데 이는 약 20%에 해당한다. 이 경우에는 “정보의 절취보다 정보의 변조가 더 높은 퍼센트”를 나타냈다. 이유는 이러한 정보 변조는 “온라인” 상에서 “데이터를 변조”해야 하므로 “물리적으로 근접해있거나 같은 데이터를 사용하는 직장 동료에게 쉽게 발견”될 수 있다. 그러므로 같이 일하는 직장 동료를 가담시키는 것이 안전하다고 느낀다.

 

② 조직범죄와 연루된 내부자 부정(Insider Fraud Involving Organized Crime)
CERT에 따르면, 내부자 부정 범죄의 약 “10%”는 “조직범죄와 연관된 범죄”이다. 이러한 범죄는 여러 명의 “내부자”나 “외부자”가 가담하고 있고 “오랜 기간 동안” 부정을 저지르고 있는 유형이다. 평균 피해 규모는 “4백만 달러”를 초과하며 특정 사건의 경우 피해 규모는 약 “50만 달러”에 이른다.
이 유형은 다른 내부자 부정과 마찬가지로 다수의 내부자는 “비 기술직” 분야의 직원들이고 일부는 “관리직 직급”이다. 관리직 직급이 포함된 범죄는 범죄의 “기간은 더 길고 규모는 더 큰 것이 특징”이다. 또한 내부자의 성별은 대부분 “여자”이다. 조직범죄와 연루된 내부자 부정의 목적은 “경제적 이득”이고 이들은 주로 “고객정보를 훔쳐서 팔거나, 신용 보고서를 변조해서 더 높은 신용점수를 받도록 하거나, 운전 면허증 같은 가짜 면허증을 발급”한다. 즉, 조직 내 “데이터를 변조”하고 “무결성 검증을 우회”시킨다. 

 

원인 분석
내부자 부정의 원인은 재정적인 원인이 가장 크다고 할 수 있으며 대부분의 부정의 수행하는 내부자는 재정적인 어려움을 겪는 낮은 직급의 직원이다. 
내부자 부정 범죄의 일반적인 패턴은 범죄학자 Donald Cressy 가 1950년대 초에 발표한 “부정 트라이앵글(Fraud Triangle)”을 논할 수 있다. 예서처럼 부정 트라이앵글은 “압박”, “기회”, “합리화”의 3가지 요소로 구성되어있다. 이 이론에 따르면, 부정을 일으키기 위해서는 이 세 가지 요소가 제시되어야만 한다.  

① 압박(Pressure)
압박은 “사람이 부정을 저지르는 이유”로, 종종 “심각한 재정적 어려움이나 문제”에서 생겨난다. 이러한 “어려움이나 문제는 외적 압박에서 발생”하는데, 예를 들면 대출금, 도박 중독, 신용카드 청구서, 과도한 소비 등이 여기에 해당한다. 이러한 문제는 남들과 “공유하지 않고”, “문제를 비밀리에 해결”하는 특징이 있다.  

② 기회(Opportunity)
기회는 “부정을 저지르는 능력”이다. 조직 내에서 느슨한 내부통제와 관리자의 “부적절한 관리 감독”은 부정을 저지르는 사람에게 기회를 제공한다. “다른 요소보다 기회에 대해서 더 확실히 통제”가 필요하다. 그러기 위해서는 “프로세스”, “절차”, “통제”를 강화해서 직원들이 부정을 저지르려는 능력을 “단념”시키고 “억제”해야 한다.  

③ 합리화(Rationalization)
합리화는 “부정을 저지르는 것에 대한 개인의 윤리적인 주저함을 극복하는 프로세스를 포함”한다. 즉 “통상적으로 용인된 예절 혹은 진실의 개념과 부정한 행동을 일치시키는 행위”이다. 합리화는 부정을 저지른 사람이 학대받고 있기 때문에 “조직이 그들에게 빚지고 있다”고 믿거나 “부정이 약탈로부터 가족을 지키는 유일한 방법”이라고 믿는 것이다. 또한, 부정으로 인한 돈은 “돌려받을 때까지 단지 빌리는 것”이라고 믿는다.