컨텐츠 바로가기

12.28 (토)

'불시점검' 금융권 블라인드 테스트, 새해 더 확대한다.

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
전자신문

금융감독원과 금융보안원이 15일부터 은행권을 대상으로 사이버위협에 대응해 화이트해커를 통한 블라인드 사이버 모의해킹 훈련을 실시한다. 이번 모의 훈련은 오는 21일까지 진행되며 해킹 일시와 대상 은행을 사전에 알리지 않은 채 진행된다. 14일 경기 용인시 금융보안원 침해대응훈련실에서 화이트해커팀이 서버해킹과 디도스 공격 예행연습을 하고 있다. 김민수기자 mskim@etnews.com 2024.02.14

<이미지를 클릭하시면 크게 보실 수 있습니다>


금융권 보안 취약점 블라인드 테스트가 확대된다.

금융감독원은 금융보안원과 함께 국내 금융회사를 대상으로 화이트해커 등을 통한 사이버 모의훈련을 올해 2차례 실시했다고 3일 밝혔다. 앞으로 블라인드 기반 훈련을 지속 확대·고도화 할 계획이다.

금감원과 금보원은 올해 훈련 일시·대상·방법을 비공개 한 채 금융회사 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행해 훈련 실효성을 높였다.

상반기에는 전체 은행(19개)을 대상으로 실제 6개 회사에 대한 훈련을 진행했고, 하반기에는 제2금융권 및 생성형AI(LLM)을 대상(83개)으로 총 12개 금융회사 등을 불시에 점검했다.

특히 하반기에는 망분리 로드맵 일환으로 조만간 금융권이 도입하게 될 생성형AI(LLM) 강건성을 점검하고 개선사항을 도출 후 보완하도록 했다.

금감원과 금보원은 올해 2차례 훈련 결과, 대부분의 금융회사는 외부 사이버위협에 충분한 대응역량을 갖추고 있음을 확인했다고 이날 밝혔다. 다만, 일부 금융회사에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견되는 등 미비점을 확인했다.

일례로 A 금융회사 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점이 발견되어 이에 대한 보안통제 강화 등 즉시 조치했다. B 금융회사는 디도스(DDOS) 모의 공격을 받았으나, 이를 적절히 대응하지 못하고 서비스 지연이 발생하는 등 모바일 앱에 대응체계가 부족했다.

금감원은 “금번 훈련을 통해서, 금융회사가 기존 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계 부족한 부분을 보완할 수 있었고, 경영진을 포함해 회사 내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다”면서 “앞으로 블라인드 기반 훈련을 지속 확대·고도도화해 진화하는 사이버위협으로부터 국내 금융권 안전성을 확보하겠다”고 말했다.

김시소 기자 siso@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.