블라인드 모의해킹 훈련서 일부 금융사 취약점 발견···"보완 조치"

금감원·금보원 사이버 모의훈련 결과 발표

국내 금융회사를 대상으로 한 블라인드 기반 사이버 모의훈련에서 일부 금융회사에서 소비자 피해가 유발될 수 있는 중요 취약점이 발견돼 즉시 보완조치됐다.

금융감독원은 금융보안원과 함께 올해 2월과 10월 화이트해커(착한해커)를 통해 은행업권과 제2금융권 대상으로 모의해킹 훈련을 각각 실시한 결과 이같이 나타났다고 밝혔다.

상반기에는 전체 은행(19개) 중 6개 회사에 대한 훈련을 진행했고, 하반기에는 제2금융권 및 생성형 인공지능(AI)을 대상(83개)으로 총 12개 금융회사 등을 불시에 점검했다.

특히 하반기엔 망분리 로드맵의 일환으로 조만간 금융권이 도입하게 될 생성형AI와 관련해 어떠한 환경(비정상적 질문)에도 정상적인 기능을 유지하는 특성인 '강건성'을 점검해 금융소비자가 신뢰할 수 있고 안전하게 이용할 수 있도록 개선사항을 도출 후 보완하도록 했다.

2차례 훈련 결과 대부분의 금융회사는 외부 사이버위협에 충분한 대응역량을 갖추고 있음을 확인했다. 다만 일부 금융회사는 소비자 피해를 유발할 수 있는 중요 취약점이 발견됐다.

A사는 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점이 발견돼 이에 대한 보안통제 강화 등 즉시 조치를 진행했다. 회사 측은 단일 공격으로 소비자 피해가 가능한 중요 취약점임을 인식하고 불법침입 시도에 대한 웹방화벽 설정정보 강화 및 관련 통제 기능을 강화했다.

B사도 디도스(DDOS) 모의 공격을 받았으나 이를 적절히 대응하지 못하고 서비스 지연이 발생하는 등 모바일 애플리케이션에 대응체계의 미비점을 확인했다. 회사 측은 모바일 서비스에 대한 사이버 대피소를 추가하고 대외서비스에 대한 점검 절차를 추가하는 등 재발방지책을 마련해 시행했다.

금감원은 훈련사례로 정부 부처대상 '사이버보안 우수사례 설명회'를 개최해 훈련의 성과를 공유하고 타 산업으로의 확대 적용방안도 논의했다. 앞으로 블라인드 기반의 훈련을 지속 확대·고도화해 진화하는 사이버 위협으로부터 국내 금융권의 안전성 확보를 위해 지속 노력해간다는 방침이다.

금감원은 “이번 훈련을 통해 금융회사가 기존의 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계의 부족한 부분을 보완하고, 경영진을 포함해 회사내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다”고 평가했다.

신중섭 기자 jseop@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]