Monthly Archives: December 2012

You are browsing the site archives by month.

“Excel 파일을 이렇게 조작?”

부정을 일으킨 사용자의 PC를 수집했다.

사용자의 이름으로된 Excel 파일(“홍길동.xlsx”)의 최초 문서 생성자, 수정자, 생성일, 수정일, 접근일을 살펴본결과, 최근에 사용자가 임의로 이 파일을 변경한것을 의심하였다.

의심을 하게된 이유는 증거를 수집하기 몇분전에 수정일자가 변경되었고, Excel 문서의 파일 Size 가 1MB 였는데, Excel 문서안의 내용은 1MB도 안되어 보였다. 즉,  파일 Size 가 이상했다.

아래의 내용은 대부분의 일반 사용자들이 알고있는 엑셀의 기능들이기때문에 누구나 손쉽게 할수 있다. 부정행위자의 대부분은 고도의 테크닉을 가진 기술자가 아니라 일반인들이기 때문에 분석시 아래사항들도 꼭 살펴보길 권한다.

1. 숨겨진 Sheet 확인 :   

숨기기 취소 01

숨기기 취소 02

숨기기 취소 03

2. 숨겨진 Row, Column 확인

숨기기 Row 취소 01

숨기기 Row 취소 02숨기기 Row 취소 03

3. 폰트 Color 확인

숨기기 폰트 COLOR 01

숨기기 폰트 COLOR 2

* Ctrl + A or Font Color 를 변경하면 위의 내용을 확인 할 수 있다.

임직원 부정적발

협력업체 거래 부정

현업업무 담당자와 협력업체와의 부적절한 계약관계.

김차장은 한부서에서 10년동안 근무를 하고 있었다. 한 부서에서 10년동안 근무하기는 쉽지 않은 일인데, 워낙 인력이 없다보니 어느덧 10년이라는 세월이 훌쩍지나가 버렸다.

너무나 오랜기간을 근무하다보니 김차장 없이는 일 진행을 할수가 없었다.

특히 협력업체와의 거래가 많았고 협력업체와도 친밀한 관계를 유지하고 있었다.

사건은 협력업체에서 발생하지 않았다.

김차장은 10년동안 근무하면서 친구를 대표로하여 페이퍼컴페니를 하나 설립하였고, 약 1년동안 운영을 하고 있었던 중 친구와의 관계과 악화되면서 부정이 들어나기 시작했다.

신라호텔 상품권 현금화하여 7억여원 횡령

■ 범행동기 : ?
■ 범행기간 : 2009년 4월 ~ 2012년 11월(3년 7개월)
■ 횡령금액 : 7억 8,869만원(89회에 걸쳐 횡령)
■ 범행도구 : ?
■ 범행수법 : 외국에게 지급해야할 상품권(10,000) 미지급

신라호텔 횡령

■ 포렌식관점에서 Think about it
– 범행기간이 3년 7개월임에도 불구하고 위 사항에 대해서 몰랐다는 것은 일단 내부통제에 문제가 있었음은 확실하다.
– 위 사건 조사시 포렌식을 활용했겠지만 다시한번 필요한 것들을 나열해보면, 담당자의 PC, 휴대폰 등 스마트기기, 이메일, 메신져, 내부 결제 품의서 등 분석이 필요하다.

다이소 아성산업 14억 8,869만원 횡령

■ 범행동기 : 오랜기간 근무하면서 회사 자금집행업무에 통달하고 있으며 협력업체와 친밀한 관계 형성
■ 범행기간 : 2007년 3월 ~ 2011년 12월(5년 9개월)
■ 횡령금액 : 14억 8,869만원(50회에 걸쳐 횡령)
■ 범행도구 : 컴퓨터, 펜
■ 범행수법 : 거래처 물품대금 지급관련 문서 위조, 물품대금 과다지급

다이소 횡령

■ 개선방안
– 물품대금이 적절하게 지급되고 있는지 정기적인 감사 수행
– 또한, 외부 HOTLINE 을 구축하여 제보 받음
– 직무 순환 및 직무 분리
– 협력업체 거래 중심으로 임직원에게 주기적인 윤리교육 실시

■ 포렌식관점에서 Think about it
– 자금을 집행하는 부서에 대한 데테일한 포렌식 감사가 필요했다. 문서를 위조해서 물품대금이 과다 지급되었다는 사실은 일반적인 감사방법으로 알아내기가 쉽지 않다. 거래처에서 보내온 청구서와 출금전표 등 맞추어보면 일치한다. 실제 물건에 대한 단가도 조작했을것이고 물품수량도 맞을 것이다. 그러니 감사를 통해서 미쳐 발견하지 못했을 수도 있다.
– 포렌식 방법론을 적용하여 감사를 하였다면 위 담당자에 대한 PC 및 기타 전산관련 데이타(메신져, 이메일 등) 분서을 통해 밝혀낼수도 있었을 것이다. 이와 더불어 모니터링이 필요하다. 이상징후를 사전에 발견했다면 이러한 횡령 사고를 막을 수 있었을 것이다.

삼성전자 165억 횡령

■ 범행동기 : 2010년 10월 온라인 도박으로 월급 날림, 온라인 도박사이트에 빠졌음
■ 범행기간 : 2010년 4월 ~ 2012년 10월(2년 6개월)
■ 횡령금액 : 165억 5,060만원(65회)
■ 범행도구 : 가위, 풀
■ 범행수법 : 회사가 은행과 거래시 편의상 전표를 원본이 아니라 FAX로 주고받는 것을 악용

1. 대금지급이 종료된 거래처와의 대금정산서류 조작 : 회사 측에 증빙자료를 제출하기 위해 기존에 업무상 보관하고 있던 은행 명의 ‘수출관련 수수료 정리’ 공문서의 날짜, 금액 등 필요한 부분만 떼어내 오려붙임

S전자 횡령수법 3
S전자 횡령 수법 2
2.증빙자료용 “수출관련 수수료 공문”, “타행환 입금전표” 위조 : 은행 계좌에서 자금을 인출하는 내용의 출금전표에 삼성전자 법인인감을 날인해 출금전표를 위조한 뒤 해당 전표를 은행에 제출, 자신이 원하는 계좌에 송금

S전자 횡령 수법 4
S전자 횡령수법 1

3. 펌뱅킹 수수료 또는 여신한도 약정 인지세 지출 명목으로 증빙자료를 허위로 작성해 회사에 제출

■ 대응방안 :
1. 모니터링 강화
* 예1) 온라인 도박사이트에 빠져있었던 것을 보았을때, 회사 내부에서 위 직원에 웹사이트 접근이력등을 모니터링하였다면 장기간의 범죄 행위를 막을 수 있었을 것이다. 모니터링의 경우에는 쉽지 않기 때문에, 휴가기간 직원의 PC를 조사할 필요가 있다.
* 예2) 내부직원의 이상징후에 대해 제보를 할 수 있는 Hot Line 구축 필요. 아마도, 위 직원이 이러한 상황까지 왔을때에는 여러가지 행동변화가 있었을 것이다. 해외 여행이 빈번하거나, 고급승용차를 타고 다니거나, 유흥업소에 많이 다니거나 등등 의 이상징후를 볼수 있을것이다.

2. 직무순환/분리 필요
* 예1) 회사의 자금업무를 너무나 잘 알고 있는 직원이였기 때문에 횡령할 수 있는 방법도 잘 알고 있었다. 즉, 한 부서에서 오랜 근무했던 직원들을 대상으로 직무순환을 할 필요가 있고, 직무순환이 어려운경우에는 강제휴가를 보낸 후 다른 직원을 그 업무를 맡게 한다.

3. 장부 대사/검증 강화
* 예1) 경리팀 직원의 경우에는 출금전표에 기록된 금액이 맞게 출금되었는지 출금전표 영수증만을 확인할 것이아니라, 실제 통장에서 출금되었는지 거래내역을 살펴 보았어야한다. 이부분이 사실 의문이다. 경리직원과 공모는 없었는지 의심이 가는 부분이다.

■ 포렌식관점에서 Think about it
– 중요한 부서, 회사의 Key Man 들에대한 정기적인 포렌식 감사를 수행할 필요가 있다.