전자 신고 거부. 제출한 기억이 없는 941 양식. 전혀 들어본 적 없는 새로운 등록 대리인이 기재된 주 정부 장관(Secretary of State) 연례 보고서. 이 각각은 간과하기 쉬운 사소한 신호일 수 있지만, 사실 비즈니스 신원 도용의 전형적인 증거입니다. FTC(연방거래위원회)에 따르면 2024년 신원 도용 신고 건수는 110만 건을 넘어섰으며, IRS(국세청)는 비즈니스 신원 도용을 개인 신원 도용과 별개로 분류하여 점점 커지는 위협으로 다루고 있습니다.
소비자 신원 도용과 달리 비즈니스 신원 도용은 단일 법률, 단일 기관 또는 단일 보험 정책으로 보장되는 경우가 드뭅니다. EIN(사업자 식별 번호)은 사회보장번호(SSN)처럼 동결할 수 없습니다. 기업 신용평가사는 소비자 측의 Equifax, Experian 또는 TransUnion만큼의 보호 기능을 제공하지 않습니다. 또한 IRS, 거래 은행, 주 정부 장관실, 급여 서비스 제공업체는 각각 독자적인 구제 절차를 운영합니다. 이 가이드는 개인 사업자부터 폐쇄형 C-코퍼레이션에 이르기까지 소상공인이 이번 주 안에 바로 적용할 수 있는 경고 신호, 즉각적인 대응 단계 및 연중 방어 수칙을 안내합니다.
비즈니스 신원 도용이 실제로 발생하는 방식
대부분의 성공적인 비즈니스 신원 도용 공격은 공개된 정보에 의존합니다. 귀하의 EIN은 W-9, 1099, 기업 등록 서류, 때로는 송장에도 나타납니다. 등록 대리인, 설립일, 임원 및 주소는 주 정부 장관 데이터베이스를 통해 공개됩니다. 여기에 도용된 우편 주소, 위조된 서명 편지 또는 해킹된 이메일 계정이 결합되면 도둑은 귀하의 비즈니스를 사칭하는 데 필요한 모든 것을 갖게 됩니다.
일반적인 공격 패턴은 다음과 같습니다:
- EIN 기반 세금 사칭. 범죄자가 귀하의 기업 명의로 허위 Form 1120, 1120-S 또는 1065를 제출하여 환급 가능 세액 공제를 청구하거나, 해당 신고서를 후속 개인 신원 도용 사기의 근거로 사용합니다.
- 급여 사기. 환급 가능 세액 공제를 생성하기 위해 가짜 Form 941을 제출하거나, 직원들의 SSN을 탈취하기 위해 사회보장국(SSA)의 비즈니스 서비스 온라인(Business Services Online)에 위조된 W-2 묶음을 업로드합니다.
- 등록 대리인 탈취. 도둑이 주 정부 장관실에 등록 대리인이나 주요 임원을 변경하는 수정안을 제출합니다. 공식적인 송달용 우편 주소를 장악하면 정부 통지서를 가로채고 귀하의 명의로 계좌를 개설할 수 있습니다.
- 은행 및 가맹점 계좌 탈취. 비즈니스 뱅킹 포털, ACH 발생 도구 또는 결제 처리업체에 대한 피싱이나 크리덴셜 스터핑(credential stuffing) 공격을 감행하며, 귀하가 알아차리기 전에 신속하게 자금을 인출합니다.
- 1099-NEC 및 1099-K 위조. 도둑이 귀하가 고용한 적 없는 작업자들에게 귀하의 명의로 1099를 발행하여 허위 신고서에 가짜 비용을 생성하고, 전혀 모르는 사람들에게 IRS 통지서가 발송되게 만듭니다.
무시해서는 안 될 경고 신호
IRS와 대부분의 사기 조사관은 다음과 같은 적신호 목록을 제시합니다. 이 중 하나라도 발견되면 즉시 사건이 발생한 것으로 간주하고 당일 아래의 대응 단계를 시작하십시오.
세무 관련 신호
- 동일한 기간에 대한 신고서가 이미 존재한다는 이유로 전자 신고가 거부됩니다.
- 귀하가 요청하지 않은 신고서, 예치금 또는 환급과 관련된 IRS 통지서(CP2000, Letter 6042C 또는 성적증명서 요청)를 받습니다.
- 일상적인 연장 요청(Form 7004)이 중복을 이유로 거부됩니다.
- 제출한 적 없는 W-2 양식이 SSA 비즈니스 서비스 온라인 계정에 나타납니다.
- 급여를 지급한 적이 없는 분기에 대한 IRS 고용세 통지서를 받습니다.
- 청구하지 않은 세액 공제로 인해 IRS 비즈니스 세무 계정(Business Tax Account)에 입금된 내역을 확인합니다.
등록 및 뱅킹 관련 신호
- 주 정부 장관 포털에 새로운 등록 대리인, 새로운 임원 또는 익숙하지 않은 주소가 표시됩니다.
- 승인하지 않은 갱신 또는 수정 확인서를 받습니다.
- Dun & Bradstreet, Experian Business 또는 Equifax Small Business의 기업 신용 보고서에 새로운 거래 내역이나 조회 사항이 나타납니다.
- 귀하에게 도달하지 않은 송장에 대해 공급업체로부터 연락을 받습니다.
- 은행에서 귀하가 시작하지 않은 ACH 활동, 새로운 승인된 사용자 또는 송금 요청을 감지하여 알립니다.
운영 관련 신호
- 급여세 통지서, 은행 거래 내역서, 공급업체 수표 등 예상했던 우편물이 도착하지 않습니다.
- 고객이나 작업자가 귀하가 발행한 적 없는 귀하의 EIN 명의의 1099를 받습니다.
- 급여 서비스 제공업체에서 비정상적인 로그인 시도나 새로운 관리자 사용자에 대해 경고합니다.
초기 72시간: 대응 플레이북
속도가 중요합니다. 대부분의 신원 도용 구제 절차는 사기 상태가 시스템에 오래 머물수록 더 어려워집니다. 다음 순서를 따르되, 많은 단계가 동시에 진행될 수 있습니다.
0~4시간: 피해 확산 방지
- 로그인 정보 잠금. 재정에 영향을 줄 수 있는 모든 계정의 비밀번호를 강제로 재설정하십시오: IRS 온라인 계정, IRS 비즈니스 세무 계정, EFTPS, 주 세무 포털, 비즈니스 뱅킹, ACH 발생 도구, 가맹점 프로세서, 급여 제공업체, 주 정부 장관 등록 포털 및 이메일. SMS 대신 하드웨어 보안 키나 인증 앱을 사용하여 제공되는 모든 곳에 다요소 인증(MFA)을 활성화하십시오.
- 목격한 내용 문서화. 의심스러운 통지서, 거부된 신고서, 주 정부 장관 기록 또는 은행 거래 내역서를 날짜가 포함되게 캡처하십시오. 원본 IRS 서신을 보관하십시오. Form 14039-B를 작성할 때 필요합니다.
- 은행에 즉시 알림. 은행의 마감 시간이 허용하는 경우 대기 중인 ACH 또는 송금을 취소하십시오. 은행에 해당 계좌를 사기 검토 대상으로 지정하고 포지티브 페이(positive-pay) 규정을 재설정하도록 요청하십시오.
1일차: 진술서 제출
- IRS 양식 14039-B(비즈니스 신원 도용 진술서)를 제출하세요. 이 양식은 도용자가 귀하의 사업체 명의나 EIN(사업자 등록 번호)을 사용할 때 기업, 신탁, 유산 및 면세 기관이 사용하는 양식입니다. 의심의 발단이 된 IRS 통지서 사본과 입수 가능한 모든 신고서 또는 증명서를 첨부하십시오.
- 1-800-829-4933번으로 IRS 기업 및 특수 세무 라인에 전화하십시오. 상담원에게 귀하의 계정을 신원 도용 검토 대상으로 표시해 달라고 요청하고, CP575를 분실한 경우 정당한 EIN의 새로운 증빙 자료로 Letter 147C를 요청하십시오.
- IdentityTheft.gov에서 FTC에 신고하고 복구 계획을 받으십시오. FTC의 주요 프로세스는 소비자 중심이지만, 케이스 ID는 은행 및 신용 조사 기관과 협력할 때 유용합니다.
- 해당 지역 관할 경찰서에 신고하십시오. 많은 주의 주무 장관(Secretary of State) 사무실과 일부 은행은 경찰 신고서 없이는 분쟁 처리를 진행하지 않습니다.
2일차: 피해 확산 방지
- 3대 기업 신용 조사 기관에 연락하십시오. 개인 신용 정보처럼 기업 신용 파일을 동결할 수는 없지만, 사기 경보를 설정하고 조회 내역에 이의를 제기할 수 있습니다.
- Dun & Bradstreet (D&B): DUNS 프로필에 사기 경보를 요청하고 거래 내역을 확인하십시오.
- Experian Business: 분쟁 절차를 시작하고 사기 관련 진술을 추가하십시오.
- Equifax Small Business: 신규 계정 및 조회 내역 검토를 요청하십시오.
- 주무 장관 사무실에 알리십시오. 도용자가 등록 대리인이나 임원을 변경한 경우, 수정 수정안을 제출하고 해당 주의 신원 도용 신고 절차를 따르십시오. 콜로라도, 플로리다, 뉴욕 등 많은 주에서 전용 양식을 제공하고 있습니다.
- 거래처와 고객에게 알리십시오. 위조 송장이나 가짜 1099 양식이 이미 발행된 경우, 마케팅 메일이 아닌 짧고 사실적인 이메일을 보내 대금이 잘못된 계좌로 흘러 들어가는 것을 방지하십시오.
3일차 이후: 조정 및 복구
- 허위 1099 양식을 조정하십시오. 귀하의 EIN으로 가짜 1099-NEC 또는 1099-K가 발행된 경우, 0달러로 수정된 1099를 작성하고 회계 기록에 분쟁 내용을 문서화하십시오. IRS 통지서, 수정된 신고서 및 진술서를 하나의 패키지로 묶어 보관하십시오.
- 분실된 우편물을 대체하십시오. usps.com/manage에서 무단 주소 변경 요청이 있는지 USPS를 점검하십시오. 수신 우편물의 스캔본을 확인할 수 있도록 USPS Informed Delivery 서비스를 고려해 보십시오.
- 직원 액세스 권한을 초기화하십시오. 퇴사자나 보직 이동자는 더 이상 필요하지 않은 모든 자격 증명을 삭제해야 합니다. 대부분의 기업 신원 도용 사건에는 여전히 활성 상태여서는 안 되는 계정이 최소 하나 이상 포함되어 있습니다.
사기 탐지에서 장부 기록의 숨은 역할
강력한 장부 기록은 소규모 기업이 가질 수 있는 가장 저렴하고 효과적인 사기 방지 수단 중 하나입니다. 깨끗한 원장은 이상 징후를 명확하게 드러내며, 가시성을 확보하는 것이 신원 도용 방지의 핵심입니다. 다음 세 가지 습관이 가장 중요합니다:
- 매월 결산 조정의 원칙. 매달 모든 은행 계좌, 신용카드, 급여 및 가맹점 계좌를 조정하십시오. 정체된 장부는 무단 ACH 이체, 유령 급여 집행, 도용된 거래처 대금 결제 등을 수개월 동안 숨길 수 있습니다.
- 엄격한 계정 과목 체계. 세금 납부, 급여 부채, 가맹점 입금, 계열사 간 거래를 위한 별도의 계정을 사용하면 속하지 않는 숫자를 쉽게 찾아낼 수 있습니다. 뭉뚱그려진 "기타" 계정은 사기가 숨어들기 좋은 곳입니다.
- 버전 관리되는 기록. IRS에서 실제 양식 941 또는 1120-S를 뒷받침하는 문서를 요청할 때, 각 항목이 언제 누구에 의해 입력되었는지 보여주는 추적 경로가 필요합니다. 신원 도용 복구 과정에서 조작 방지 기록은 매우 가치 있게 쓰입니다.
정확하고 투명한 장부는 신고서가 허위임을 입증하는 데 걸리는 시간을 단축해 줍니다. 분쟁 기간을 포괄하는 깨끗한 급여 대장, 분개장 또는 총계정원장을 신속하게 제출할수록 IRS 신원 보호 전문 부서(Identity Protection Specialized Unit)에서 사건을 더 빨리 종결할 수 있습니다.
연중 상시 방어 수칙
신원 도용으로부터 신속하게 회복하는 기업의 대부분은 피해를 입기 전에 미리 대비한 곳들입니다. 다음의 습관들은 비용이 거의 들지 않으면서도 문제가 발생했을 때 그 이상의 가치를 발휘합니다.
IRS 기록 보호
- ID.me를 통해 본인 인증을 한 번 완료하고 기업용 IRS 온라인 계정을 생성하십시오. 이를 통해 잔액, 증명서, 통지서를 수동적으로 기다리지 않고 선제적으로 모니터링할 수 있습니다.
- CP575(IRS의 최초 EIN 확인서)를 안전하고 중복된 장소에 보관하십시오. 찾을 수 없는 경우 IRS 기업 및 특수 세무 라인에 전화하여 Letter 147C를 받아 보관하십시오.
- 최소 1년에 한 번, 급여 지급 내역이 있는 경우 분기마다 세무 증명서를 발급받으십시오. 예상치 못한 임금 및 소득 증명서는 종종 급여 사기의 초기 징후가 됩니다.
주 정부 기록 보호
- 주무 장관 사무실에서 제공하는 이메일 또는 문자 알림 서비스에 가입하십시오. 요청하지 않은 연례 보고서나 수정 통지서가 오면 즉시 확인해야 합니다.
- 개인 주소 대신 전문 등록 대리인 서비스를 이용하십시오. 전문 대리인은 의심스러운 우편물을 식별하며 사칭하기가 더 어렵습니다.
- 사용 가능한 경우 해당 주의 UCC 등기 알림을 구독하십시오. 귀하의 자산에 대한 허위 UCC-1 설정은 대출 사기의 전조로 알려져 있습니다.
뱅킹 및 급여 보안 강화하기
- 모든 비즈니스 당좌 예금 계좌에 포지티브 페이(Positive pay) 또는 리버스 포지티브 페이(Reverse positive pay)를 설정하세요.
- ACH 이체 실행 및 일정 금액(많은 소규모 기업들이 $1,000 또는 $2,500를 기준으로 함) 이상의 모든 송금에 대해 이중 승인을 요구하세요.
- 급여 서비스 제공업체의 관리자 권한을 가진 인원을 제한하세요. 관리자 목록을 분기별로 감사하세요.
- 뱅킹, 급여 관리 및 이메일에 하드웨어 보안 키(FIDO2/WebAuthn)를 사용하세요. SMS나 인증 앱이 비밀번호만 사용하는 것보다는 낫지만, 하드웨어 키는 거의 모든 피싱 기반 계정 탈취 시도를 무력화합니다.
신용 및 벤더 보안 강화하기
- 최소 하나 이상의 비즈니스 신용 모니터링 서비스에 가입하세요. D&B의 CreditSignal은 무료 알림을 제공하며, D&B, Experian Business 또는 Nav의 전체 모니터링 서비스는 보통 월 $15에서 $199 정도입니다.
- 신규 벤더의 은행 정보 변경 요청이 오면, 이메일에 적힌 번호가 아니라 이미 보관 중인 연락처로 전화하여 확인하세요. 비즈니스 이메일 침해(BEC) 사기에는 거의 항상 "새로운 ACH 정보" 메시지가 포함됩니다.
- 1099 양식 발행 절차를 표준화하고 모든 수취인 목록을 완전하게 유지하세요. 통제된 발행 프로세스를 갖추면 귀하의 사업자 등록 번호(EIN)가 도용된 위조 1099 양식이 나타났을 때 즉시 파악할 수 있습니다.
보험이 보장하는 것과 보장하지 않는 것
대부분의 일반적인 기업주 종합보험(BOP)은 비즈니스 신용도용을 보장하지 않습니다. 원하는 보장을 받으려면 다음 세 가지 특약 중 하나가 필요합니다:
- **사이버 배상책임(Cyber liability)**은 일반적으로 자격 증명 탈취, 비즈니스 이메일 침해 및 복구 비용을 보장합니다.
- **범죄 보험(Crime insurance)**은 수표 위조 손실, 컴퓨터 사기 및 자금 이체 사기를 보장할 수 있으며, 흔히 확인 조항 준수 여부에 따라 달라집니다.
- **신원 회복 특약(Identity recovery endorsements)**은 때때로 BOP나 사이버 보험에 부가되며 법률 수수료, 문서 제출 비용 및 생산성 손실을 보상합니다.
보증 및 확인 조항을 주의 깊게 읽으십시오. 많은 범죄 보험은 계약상 요구되는 이중 승인이나 전화 확인 절차를 수행하지 않은 경우 청구를 거부합니다. 위 섹션에서 언급한 보안 관리 수칙은 좋은 관행일 뿐만 아니라 귀하의 보험 보장 범위를 유지하는 수단이기도 합니다.
대부분의 경영자가 잊어버리는 장기 복구 작업
즉각적인 위기가 수습되면 다음 후속 조치들을 캘린더에 등록하세요. 이는 첫 번째 사기 이후에 종종 발생하는 두 번째 파동을 잡아낼 수 있게 해줍니다:
- 30일 후: 미국 국세청(IRS), 주 세무국 및 실업 보험 계정에서 최신 증명서를 발급받아 확인하세요.
- 60일 후: 주무장관(Secretary of State) 기록을 재감사하고 등록 대리인 변경 사항이 반영되었는지 확인하세요.
- 90일 후: 비즈니스 신용 보고서를 다시 확인하고 사기성 조회 및 거래 내역(Tradelines)이 삭제되었는지 확인하세요.
- 1년 후: 연말 결산 시 연례 신용도용 점검 일정을 잡으세요. 이는 계정 조정 및 세무 준비 작업과 자연스럽게 연결됩니다.
처음부터 장부와 신원 정보를 체계적으로 관리하세요
이 가이드의 모든 단계를 하나로 묶는 핵심은 문서화입니다. 급여, 신고서, 벤더 활동 및 은행 거래 등 비즈니스의 실제 활동에 대한 깨끗하고 신뢰할 수 있는 기록을 신속하게 제시할 수 있을수록 신용도용 사건은 더 빨리 종결되며, 도둑이 귀하의 평판을 이용할 수 있는 여지는 줄어듭니다. Beancount.io는 투명하고 버전 관리가 가능하며 AI 활용이 용이한 텍스트 기반 회계(Plain-text accounting) 환경을 제공하므로, 원장의 모든 항목은 명확하고 감사가 가능한 이력을 갖게 됩니다. 지금 무료로 시작하여 어떤 종류의 사기로부터도 훨씬 덜 고통스럽게 회복할 수 있는 탄탄한 기록을 구축해 보세요.