금감원, 일부 금융사 디도스 공격에 취약…사이버 훈련 통해 대비

금융감독원이 금융보안원과 함께 국내 금융회사를 대상으로 화이트해커('착한해커') 등을 통한 사이버 훈련을 올해 2차례 실시했다고 3일 밝혔다.

금감원은 훈련 일시와 대상, 방법을 비공개로 금융회사의 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행해 훈련 실효성을 높였다. 상반기에는 전체 19개 은행 중 6개 은행을, 하반기에는 제2금융권 및 생성형AI(Large Lnaguage Model, LLM)을 대상(83개)으로 12개 금융회사 등을 불시 점검했다.

금감원은 이번 하반기에 망분리 로드맵의 일환으로 조만간 금융권이 도입하게 될 생성형 AI의 강건성을 점검해 금융소비자가 신뢰할 수 있고 안전하게 이용할 수 있도록 개선사항을 도출 후 보완하도록 했다.

올해 2차례 훈련 결과, 금감원은 대부분의 금융회사들이 외부 사이버위협에 충분한 대응역량을 갖추고 있음을 확인했다고 설명했다. 그러나, 일부 금융회사의 경우 소비자 피해가 유발될 수 있는 중요 취약점이 발견되는 등 미비점이 나타나 즉시 보완조치했다고 전했다.

하반기 훈련 결과 발견된 주요 취약점 사례로 금감원은 A 금융회사의 웹 서버에 허가받지 않은 파일 업로드가 가능한 것을 확인, 이에 대한 보안통제 강화 등을 즉시 조치했다. A사 또한 단일 공격으로 소비자 피해가 가능한 중요 취약점임을 인식하고, 불법침입 시도에 대한 웹 방화벽 설정정보 강화 및 관련 통제기능을 강화했다.

B 금융회사의 경우 디도스(DDOS) 모의 공격을 받았으나, 이를 적절히 대응하지 못하고 서비스 지연이 발생했다. 모바일 애플리케이션(App) 대응체계의 미비점을 확인한 B사는 모바일 서비스에 대한 사이버 대피소와 대외서비스 점검 절차를 추가하는 등 재발방지 대책을 마련·시행했다.

금감원은 이번 훈련을 통해서 금융회사가 기존 훈련 방식으로는 확인할 수 없었던 사이버위험 대응체계의 부족한 부분을 보완할 수 있었고, 경영진을 포함해 회사 내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다고 평가했다.

또, 훈련사례로 정부 부처대상 사이버보안 우수사례 설명회를 개최해 훈련 성과를 공유하고, 타 산업으로의 확대 적용방안도 논의하는 등 국가 전반의 사이버보안 대응능력 향상을 도모했다고 설명했다.

금감원은 추후에도 블라인드 기반 훈련을 지속 확대·고도화해 진화하는 사이버 위협으로부터 국내 금융권의 안정성 확보를 위해 지속 노력해 나간다는 방침이다. [파이낸셜신문=임영빈 기자]