미국 직장인들의 은퇴 자금 관리 시스템인 401(k)가 단순한 은퇴 자금을 넘어 사이버 범죄자들의 '새로운 타겟(New Identity Theft Target)'으로 떠오르고 있다.
최근 401(k) 계좌에서 수십만 달러를 탈취당하는 사건이 잇따르면서, 은퇴를 앞둔 가입자들의 각별한 주의가 요구된다.
사기범들은 미국 내 은퇴 자금 401(k) 관리 시스템의 허점을 집중적으로 노리고 있다. '401(k)는 은퇴 때까지 건드리지 않는 계좌'라는 것을 알기 때문이다. 상시적 계좌 확인이 반드시 필요한 이유다.
사기범들은 특히 가입자가 일상 업무에 바쁜 틈을 타 계정 연락처를 바꾸고, 본인인 척 관리자에게 전화를 걸어 자금을 빼간다. 관리 업체들은 피해자가 사기 사실을 알기 전까지 이를 전혀 눈치채지 못한다.
은퇴 자금은 고령층이나 은퇴를 앞둔 직장인들에게는 생존권이 달린 문제이기에, 이번 기회에 반드시 점검하자.
폭스 뉴스 테크 리포트 및 사이버 보안 전문가 '커트 더 사이버가이(Kurt the CyberGuy)'에 따르면, 보안 전문가들은 범죄자들이 정교한 개인정보 탈취 기법을 동원해 은퇴 계좌에 침입, 거액의 노후 자금을 한꺼번에 가로채는 사례가 급증하고 있다고 경고했다.
은퇴 자금인 401(k)를 노리는 신분 도용 사기는 매우 교묘하다.
한 사기범은 401(k) 플랜 기록 관리 업체 콜센터에 전화해 상담원을 속이고 계좌를 변경한 뒤 약 75만 달러를 인출했다.
사기범은 피해자의 사회보장번호(SSN), 생년월일, 주소 등 기본적인 정보만으로 상담원의 본인 확인 절차를 통과한 것으로 알려졌다.
이는 최근 미국 내에서 빈번하게 발생하는 '계정 탈취 및 불법 인출 사기' 유형으로, 사기범들이 피해자의 개인정보를 미리 확보한 뒤 마치 본인인 것처럼 위장해 자금을 빼가는 방식이다.
전문가들은 "사기범들이 정교한 위조 서류까지 동원하고 있어 기업의 인사팀조차 이를 합법적인 요청으로 오인하는 경우가 많다"고 지적했다.
이들은 다크웹에서 유출된 개인정보를 조합해 계정 관리자에게 직접 전화를 걸어 계정 비밀번호나 계좌를 변경하고 주소를 수정하는 방식을 취한다. 웹사이트 접속 권한을 가로채는 수법도 사용한다.
이후 가입자 모르게 인출 요청을 하거나 대출을 신청해 자금을 가로챈다.
피해자들은 은퇴 자금이 모두 사라진 뒤에야 사기 사실을 인지하는 경우가 많아 회복에 상당한 어려움을 겪고 있다.
피해자가 사기를 인지했을 때는 이미 자금이 해외 계좌로 송금된 뒤라 회수가 어려운 경우가 대부분이다.
사기범들은 피해자의 개인정보만 있으면 쉽게 고객센터(콜센터)를 속이거나 계정 접근 권한을 재설정할 수 있어 주의가 필요하다.
전문가들은 401(k)는 신용카드와 달리 소비가 보호 장치가 상대적으로 제한적이어서 더더욱 사전 예방이 중요하다고 지적한다.
전문가들은 "과거에는 신용카드 도용이 주된 사기 유형이었다면, 이제는 은퇴 자금인 401(k)가 범죄자들의 '골드마인(Gold Mine)'으로 변질되었다"며 가입자들의 즉각적인 보안 강화를 주문했다.
401(k) 계좌를 지키는 12가지 핵심 예방 수칙
은퇴 자금은 한 번 빠져나가면 복구하기 매우 어렵다. 지금 즉시 아래 조치들을 취하시길 권장한다.
다중 인증(MFA) 강제 설정 (필수): 아이디와 비밀번호 외에 휴대폰 문자 인증이나 인증 앱을 통한 추가 확인 과정을 반드시 거치도록 설정하라. 사기범이 개인정보나 비밀번호를 알아도 계좌에 침투하지 못하게 만드는 가장 기본적이면서도 강력한 방어책이다.
모든 변경 알림(Account-change alerts) 활성화: 주소 변경, 비밀번호 수정, 계좌 연락처 변경 등 아주 작은 변화라도 휴대폰 문자나 이메일로 즉시 알림이 오도록 설정하라.
계좌 거래 동결(Distribution Holds) 문의: 고용주나 관리 업체(Plan Administrator)에 문의하여 본인이 직접 서면 승인을 하기 전까지 자금 인출이 불가능하도록 '인출 제한'을 걸어둘 수 있는지 확인하라.
IRS 신분 보호 PIN 사용: 국세청(IRS)의 'Identity Protection PIN'을 발급받아 사용하면 사기범들이 가입자의 명의로 허위 세금 환급이나 금융 거래를 신청하는 것을 차단할 수 있다.
신용 동결(Credit Freeze): 주요 3대 신용평가기관에 연락해 신용을 동결하라. 이는 범죄자들이 내 명의로 새로운 계좌를 개설하거나 대출을 받는 것을 원천적으로 차단한다.
비밀번호 고립화: 401(k) 계좌 비밀번호는 넷플릭스(Netflix), SNS 등 다른 사이트와 절대 공유하지 말라. 각 사이트마다 고유하고 복잡한 비밀번호를 사용하는 것이 중요하다.
계좌 상시 모니터링 및 정기 점검: 최소 한 달 또는 분기별로 한 번은 자신의 401(k) 계좌에 접속해 거래 내역과 연락처 정보가 변경되지 않았는지 확인하라. 사기범들은 피해자가 알아차리지 못하도록 아주 조금씩, 혹은 완전히 계좌를 비우는 방식으로 접근한다. 거래 내역에 빠져나간 돈이 있거나 주소나 이메일이 본인 모르게 바뀌어 있다면 즉시 사기 징후다.
개인 정보 노출 자제: 사기범들은 SNS에 올라온 가입자의 정보(생년월일, 반려견 이름, 학교 등)를 조합해 보안 질문을 통과한다. 개인적인 신상 정보는 최대한 비공개로 설정하라.
종이 명세서 수령 중단: 우편으로 오는 명세서는 도난당할 위험이 크다. 가급적 이메일이나 전용 앱을 통한 전자 명세서(eDelivery)로 변경하라.
피싱 전화/메시지 경계: 은행이나 관리 업체를 사칭한 연락이 오면, 절대 알려준 번호로 전화하지 말라. 반드시 해당 기관 공식 웹사이트에 기재된 전화번호로 직접 전화를 걸어 확인해야 한다.
물질적 피해보다 더 큰 정신적 충격
은퇴 자금 사기는 피해 규모도 크지만 가입자의 정신적 충격이 훨씬 크다.
사기범들은 '기다림'을 노린다. 은퇴 자금 계좌는 은퇴할 때까지 기다리며 자주 확인하지 않는다는 점, 또한 계좌 정보를 바꾼 뒤에도 며칠간 아무런 의심을 하지 않도록 기다리다가, 그 사이에 자금을 빼낸다. '내 계좌는 안전하겠지'라는 방심을 버리고, 지금 당장 다중 인증(MFA)부터 켜두시는 것이 가장 확실한 보호책이다.
혹시라도 이상한 이메일이나 접속 시도 알림을 받았다면, 지체 없이 관리 업체(Recordkeeper)에 연락해 '계좌 거래 동결(Lock)'을 요청하시는 것이 좋다.
정유진 기자
©2026 KOREA PORTAL. ALL RIGHTS RESERVED.
