글로벌 리스크 도표에서 사이버 범죄에 대해 이야기할 때 보통 해킹, 랜섬웨어 또는 신용 카드 도난에 대한 논의가 주를 이룹니다. 하지만 이메일 사기와 불량 데이터라는 조용한 거인이 눈에 잘 띄지 않는 곳에 숨어 있습니다.
그 수치는 엄청납니다. 미국에서만 2019년과 2023년 사이에 FBI는 이메일 기반 사기로 인해 125억 달러 이상의 손실을 기록했습니다. 전 세계적으로 수십억 명의 신규 인터넷 사용자가 온라인에 처음 접속하면서 피싱과 사기의 온상이 되고 있습니다. 그리고 가짜, 일회용 또는 유출된 이메일 주소는 한 명의 피해자에게만 피해를 주는 것이 아니라 받은 편지함에 도달하려는 모든 비즈니스의 전달력을 약화시킵니다.
이것은 이론이 아닙니다. 정부 데이터베이스와 국제 통계에 기록되어 있습니다. 그래서 저희는 수치를 취합하고 분석하여 알기 쉬운 언어로 번역했습니다. 목표는 기업들에게 실제로 무엇이 위태로운지, 그리고 받은 편지함이 꽉 차기 전에 미리 대비할 수 있는 방법을 보여주는 것입니다.
방법론 및 출처
이 보고서의 모든 수치는 공식적인 공개 데이터에서 가져온 것입니다.
- 미국 “사기 핫스팟”에 대한 사기 손실 및 불만 사항.”: FBI 인터넷 범죄 신고 센터(IC3), 2024 인터넷 범죄 보고서 및 FBI 보도 자료, 2025년 4월.
- 인구 데이터: 미국 인구조사국 빈티지 2024 추정치(2024년 7월 1일 기준 인구)를 사용하여 주별 인구로 정규화했습니다.
- 소비자 불만 동향: FTC 소비자 감시 네트워크 데이터 북 2024 및 동반된 ‘데이터 탐색’ 대시보드를 통해 전국 소비자 신고 사기 동향을 파악하고 정의 범위를 확인할 수 있습니다.
- 전 세계 인터넷 보급률: 세계은행 인터넷 사용자 수(인구 대비 %) 및 글로벌 롤업 및 2023년 추가에 대해서는 ITU Facts & Figures 2023을 참고하세요.
FBI 보고서와 인구조사 인구 데이터를 사용하여 인구 10만 명당 불만 건수와 1인당 손실액을 계산했습니다. 글로벌 성장의 경우, 세계은행의 2022년과 2023년 인터넷 사용량 수치를 비교하여 가장 큰 순이익이 발생하는 지역을 추정했습니다.
미국 스포트라이트: 이메일 사기로 인해 가장 많은 손실을 입은 주는 어디인가요?
FBI의 인터넷 범죄 신고 센터(IC3)에 따르면 2019년과 2023년 사이에 미국인들은 이메일 사기로 인해 125억 달러의 손실을 입었다고 합니다. 하지만 피해가 고르게 분산된 것이 아니라 일부 주에서는 다른 주보다 훨씬 더 큰 피해를 입었습니다.
해당 기간 동안 이메일 사기로 인한 총 손실액 기준 상위 10개 주는 다음과 같습니다:
| 순위 | 주 | 총 손실(2019-2023년) | 1인당 손실액(대략) |
| 1 | 캘리포니아 | $2.7B+ | 주민 1인당 $68 |
| 2 | 플로리다 | $1.2B+ | 거주자 1인당 $55 |
| 3 | 텍사스 | $1.1B+ | 거주자당 $38 |
| 4 | 뉴욕 | $930M+ | 거주자 1인당 $47 |
| 5 | 애리조나 | $520M+ | 주민 1인당 $71 |
| 6 | 일리노이 | $480M+ | 주민 1인당 $38 |
| 7 | 펜실베니아 | $420M+ | 주민 1인당 $32 |
| 8 | 조지아 | $400M+ | 거주자 1인당 $37 |
| 9 | 버지니아 | $350M+ | 거주자 1인당 $40 |
| 10 | 오하이오 | $340M+ | 거주자 1인당 $29 |
출처 FBI IC3 연례 보고서, 2019-2023년
숫자가 실제로 의미하는 것
- 인구와 기술 부를 고려할 때캘리포니아가 절대적인 손실 규모에서 선두를 달리고 있는 것은 놀라운 일이 아닙니다. 하지만 뉴욕이나 텍사스보다 훨씬 작지만 1인당 피해액은 더 높은 애리조나주가 눈에 띕니다. 즉, 애리조나 주민은 텍사스 주민보다 이메일 사기로 인해 돈을 잃을 가능성이 더 높다는 뜻입니다.
- 플로리다는 전형적인 사기의 온상입니다. 은퇴자가 많은 인구 통계와 부동산 호황으로 인해 사기꾼들이 쉽게 접근하기 어려운 곳입니다.
- 고소득 주 ≠ 위험 주만 있는 것은 아닙니다. 인구가 적은 일부 주에서는 상위 10위권 안에 들지 못했지만 1인당 노출액이 높은 것으로 나타났는데, 이는 해당 지역을 타겟으로 하는 비즈니스에 위험 신호입니다.
BEC: 숨겨진 범인
FBI의 보고서를 자세히 살펴보면 한 가지 사기 유형이 차트를 지배하고 있습니다: 바로 비즈니스 이메일 침해(BEC)입니다.
- 2023년에만 미국 기업들은 BEC 사기로 인해 29억 달러 의 손실을 입었습니다.
- 이는 신용카드 사기, 랜섬웨어, 기술 지원 사기를 합친 것보다 더 많은 수치입니다.
- 사기꾼은 비즈니스 이메일을 해킹하거나 스푸핑한 다음 직원을 속여 자금을 송금하거나 가짜 송장을 지불하도록 유도합니다.
사기 행위는 단순히 소비자에게만 피해를 주는 것이 아닙니다. 기업도 피해를 입습니다. 또한 이메일 사기는 추상적인 위협이 아니라 대차대조표 항목이라는 것을 증명합니다.
위험한 이메일의 전 세계적 증가
미국 데이터는 이메일 사기가 얼마나 큰 피해를 입힐 수 있는지를 보여 주지만, 진짜 문제는 전 세계적인 상황입니다. 전 세계는 그 어느 때보다 빠르게 온라인화되고 있으며, 새로운 인터넷 사용자가 늘어날 때마다 사기꾼들이 활동할 수 있는 환경이 조성되고 있습니다.
세계은행과 국제전기통신연합(ITU)에 따르면 2010년과 2023년 사이에 27억 명 이상의 사람들이 온라인에 접속할 것으로 예상됩니다. 이는 전 세계 인구의 약 35%가 10년 만에 ‘오프라인 사용자’에서 ‘이메일 사용자’로 전환하는 것입니다.
인터넷 사용자가 가장 많이 증가한 상위 10개국(2010~2023년)
| 순위 | 국가 | 신규 인터넷 사용자 수(백만 명) | 인터넷 보급률 2010 | 인터넷 보급률 2023 |
| 1 | 인도 | 500M+ | 7.5% | 54% |
| 2 | 중국 | 450M+ | 34% | 76% |
| 3 | 인도네시아 | 160M+ | 10% | 78% |
| 4 | 나이지리아 | 110M+ | 22% | 55% |
| 5 | 브라질 | 100M+ | 40% | 81% |
| 6 | 파키스탄 | 95M+ | 8% | 45% |
| 7 | 방글라데시 | 80M+ | 4% | 41% |
| 8 | 필리핀 | 70M+ | 25% | 73% |
| 9 | 멕시코 | 65M+ | 32% | 78% |
| 10 | 에티오피아 | 55M+ | 0.6% | 37% |
출처: 세계은행, ITU 세계 통신/ICT 지표 데이터베이스
숫자가 알려주는 것
- 가장 큰 이야기는 인도입니다. 10년이 조금 넘는 기간 동안 5억 명 이상의 신규 인터넷 사용자가 추가된 것은 전례가 없는 일입니다. 이는 유럽연합의 거의 모든 인구가 갑자기 온라인에 접속한 것과 같습니다.
- 중국은 여전히 거대하지만 더 성숙해졌습니다. 2010년대 초반에 비해 성장은 둔화되었지만 현재 중국의 4분의 3에 가까운 인구가 온라인에 접속하고 있습니다.
- 사하라 사막 이남 아프리카 = 개척지. 나이지리아와 에티오피아 같은 국가는 아직 보급률이 60% 미만이지만 성장률은 폭발적입니다.
- 남아시아는 다음 전쟁터입니다. 파키스탄과 방글라데시에서 1억 7,500만 명의 신규 사용자가 추가되었는데, 이들 대부분은 모바일을 주로 사용하며 디지털 문해력이 부족한 경우가 많았습니다.
빠른 도입 = 이메일 위험 증가
수억 명의 사람들이 단기간에 온라인에 접속하면 두 가지 일이 일어납니다:
- 이메일 활용 능력은 액세스에 비해 뒤처집니다. 신규 사용자는 피싱 시도, 가짜 로그인 페이지 또는 너무 좋은 제안을 발견하는 방법을 모르는 경우가 많습니다.
- 사기꾼은 군중과 함께 규모를 확장합니다. 범죄 집단은 새로운 인터넷 지역이 주요 사냥터라는 것을 알고 있습니다. 그들은 현지 언어로 된 사기를 만들어 산불처럼 퍼뜨립니다.
ITU는 일부 국가에서는 매년 새로 생성되는 이메일 계정의 70%가 가짜이거나 일회용 또는 사기성 계정 이라고 추정하고 있습니다. 이는 해당 국가의 사람들에게만 위험할 뿐만 아니라 이러한 계정이 전 세계의 메일링 리스트에 올라가기 때문에 전 세계적인 전달성 문제이기도 합니다.
기업을 위한 글로벌 도미노 효과
- 국경을 넘는 위험. 이메일 목록에 나이지리아나 파키스탄과 같이 급성장하는 지역의 주소가 포함되어 있으면 사기 또는 저품질 데이터가 발생할 확률이 급격히 높아집니다.
- 전달률 저하. 가짜 가입으로 인한 높은 이탈률은 전 세계적으로 발신자의 평판을 떨어뜨립니다.
- 비용이 많이 드는 규정 준수. 브라질, 인도, 나이지리아의 GDPR, CCPA 및 새로운 데이터 컴플라이언스 법률이 의무를 가중시키고 있습니다. 잘못된 이메일 위생 상태는 전환 비용뿐만 아니라 규제에 따른 벌금으로 이어질 수 있습니다.
사기 및 불량 이메일이 전달률을 떨어뜨리는 이유
사기 피해는 가짜 계좌로 돈을 송금하는 사람, 속아서 가짜 송장을 지불하는 기업 등 소비자 문제라고 생각하기 쉽습니다. 하지만 이러한 FBI와 세계은행의 수치 이면에는 모든 마케터와 SaaS 운영자가 두려워해야 할 것이 숨어 있습니다. 바로 사기가 발생하기 전에 잘못된 데이터가 이메일 성능을 저하시키는 것입니다.
가짜 또는 유출된 이메일의 숨겨진 비용
수집하는 모든 가짜, 일회용 또는 도용된 이메일 주소는 시한폭탄과 같습니다. 시한폭탄이 어떻게 터지는지 알아보세요:
- 반송이 쌓입니다. 일회용 이메일이나 잘못 입력된 이메일은 하드 반송을 유발합니다. 이 정도면 사서함 제공업체(Gmail, Outlook, 야후 등)에서 발신자의 평판을 떨어뜨립니다.
- 스팸 함정에 걸려들기. 사기꾼과 규제 기관은 스팸 신고를 위해서만 존재하는 ‘트랩’ 주소를 유지합니다. 한 번 걸리면 전체 목록에서 받은 편지함 배치가 엉망이 될 수 있습니다.
- 받은 편지함 배치가 축소됩니다. 유효한 주소조차도 캠페인을 스팸으로 라우팅하기 시작합니다. 오픈율이 절벽 아래로 떨어집니다.
- ROI는 증발합니다. 소수의 가짜 가입으로 시작된 가짜 가입은 광고비 낭비, 전환 감소, 그리고 운이 나쁘면 도메인이 블랙리스트에 오르는 결과로 이어집니다.
BEC와 피싱: 비즈니스 계층에서의 사기
소비자 측면에서는 피싱 이메일이 비밀번호를 훔치려고 시도합니다. 비즈니스 측면에서는 비즈니스 이메일 침해(BEC) 가 진짜 돈을 노리는 곳입니다.
- FBI의 IC3 2023 보고서에 따르면, BEC 사기로 인해 미국 기업들은 한 해에 29억 달러 의 손실을 입었습니다.
- 이는 신용카드 사기, 랜섬웨어, 기술 지원 사기를 합친 것보다 더 많은 수치입니다.
- 사기꾼은 합법적인 이메일 계정을 탈취한 후 이를 이용해 송금 또는 송장 결제를 요청하는 것이 일반적인 수법입니다.
마케팅 또는 거래 이메일을 보내는 회사의 경우 이는 다음과 같은 이유로 중요합니다:
- 도메인이 BEC 사기로 스푸핑되면 해킹을 당하지 않았더라도 평판이 나빠지게 됩니다.
- 이메일 보안에 실패하여 직원들이 피싱 이메일을 클릭하는 경우, 금전적인 피해는 치명적일 수 있습니다.
글로벌 스팸 공장
인도, 나이지리아, 방글라데시와 같은 빠른 도입 국가는 단순한 성장 사례일 뿐만 아니라 사이버 보안 연구자들이 글로벌 스팸 공장이라고 부르는 곳의 번식지이기도 합니다.
- ITU는 일부 시장에서 신규 이메일 계정의 60~70%가 사기성 또는 일회용 계정이라고 추정합니다.
- 대부분은 지하 시장에서 대량으로 재판매되어 전 세계 메일링 리스트에 올라갑니다.
- 이러한 주소는 단순히 반송되는 것이 아니라 일부 주소는 의도적으로 스팸 함정으로 악용되기도 합니다.
번역: 인증 없이 목록을 업로드할 때마다 “캠페인이 스팸 폴더에 묻히는” 복권을 구매하는 것과 같습니다.
배달 가능성 = 신뢰
이메일 전달률은 단순히 받은 편지함에 도달하는 것만이 아닙니다. 이는 사서함 제공업체에게 신뢰할 수 있는 업체임을 증명하는 것입니다.
- 검증된 목록 = 반송 감소 = 평판 상승.
- 깨끗한 발신자 평판 = 더 많은 받은 편지함 배치.
- 받은 편지함 배치 개선 = 더 많은 클릭, 매출 및 ROI.
그렇기 때문에 인증 기능을 선택 사항으로 취급하는 기업은 광고 비용은 두 배로 증가한 반면 오픈율은 작년의 절반 수준인 이유를 궁금해하는 경우가 많습니다.
기업이 실제로 해야 할 일
이 모든 데이터는 흥미롭고 다소 무섭기도 하지만, 요점은 수십억 달러에 달하는 사기 피해액이나 스팸 발생지 지도를 훑어보는 데 있는 것이 아닙니다. 이 데이터는 기업이 FBI 보고서나 스팸 폴더에 포함되기 전에 더 현명한 조치를 취할 수 있도록 돕기 위한 것입니다.
실제로 바늘을 움직이는 것은 다음과 같습니다:
1. 모든 이메일이 목록에 도착하기 전에 확인합니다.
목록 확인을 국경 검문소라고 생각하세요. 신분증 없이 비행기에 탑승하는 사람을 허용하지 않는데, 왜 확인되지 않은 이메일을 목록에 올려놓을까요? 가입 시 인증 API를 통해 주소를 실행하여 일회용, 가짜 또는 잘못 입력된 이메일이 피해를 유발하기 전에 차단하세요.
2. 전달 가능성을 부수적인 퀘스트처럼 취급하지 마세요.
‘보내기’를 누르고 기대하는 것만으로는 충분하지 않습니다. 전달 가능성은 수익의 지렛대입니다. 깨끗한 목록 = 높은 평판 = 더 많은 받은 편지함 도달 = 더 높은 ROI. 인증은 있으면 좋은 것이 아니라 핵심 마케팅 활동으로 취급하세요.
3. 대형 사기에 대한 직원 교육
비즈니스 이메일 침해는 재무팀만 노리는 것이 아닙니다. 받은 편지함을 가진 사람이라면 누구나 속아서 악성 링크를 클릭하거나 가짜 인보이스를 전달할 수 있습니다. 지속적인 교육과 내부 피싱 테스트는 사기에 속지 않고 사기를 처음 발견하는 데 도움이 됩니다.
4. 시장의 위험 프로필 파악
미국 플로리다와 같이 사기가 빈번한 지역에서 캠페인을 운영하거나 나이지리아와 같이 빠르게 성장하는 시장을 타겟팅하는 경우 추가적인 주의를 기울여야 합니다. 이러한 지역은 손상되거나 사기성 주소가 많이 발생하는 지역입니다. 이에 따라 위험 모델을 조정하세요.
5. PR에 걸맞은 투명성 구축
고객, 규제 기관, 심지어 언론인에게도 이메일 보안에 대한 확실한 수치를 보여줄 수 있다면 책임감 있는 리더로 보일 뿐 아니라 리더답게 보일 수 있습니다. 검증 관행을 공개하세요. 글로벌 사기 통계를 인용하세요. 신뢰를 브랜드의 일부로 만드세요.
결론
사기가 증가하고 있습니다. 전달 가능성은 줄어들고 있습니다. 그리고 이메일은 죽었다는 예측에도 불구하고 여전히 디지털 비즈니스의 근간을 이루고 있습니다.
가장 현명한 기업은 헤드라인을 장식할 때까지 기다리지 않습니다. 그들은 검증하고, 교육하고, 변화하는 사기 환경에 적응하여 ROI를 떨어뜨리기 전에 미리 대처합니다.
좀 더 직설적으로 말하자면, 불량 이메일 데이터는 전 세계적으로 수십억 달러의 비용이 들지만 목록을 보호하는 데는 몇 푼의 비용도 들지 않습니다 . 여러분은 어느 쪽에 속하고 싶으신가요?
