금융감독원과 금융보안원이 15일부터 은행권을 대상으로 사이버위협에 대응해 화이트해커를 통한 블라인드 사이버 모의해킹 훈련을 실시한다. 이번 모의 훈련은 오는 21일까지 진행되며 해킹 일시와 대상 은행을 사전에 알리지 않은 채 진행된다. 14일 경기 용인시 금융보안원 침해대응훈련실에서 화이트해커팀이 서버해킹과 디도스 공격 예행연습을 하고 있다. 김민수기자 mskim@etnews.com 2024.02.14 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
금융권 보안 취약점 블라인드 테스트가 확대된다.
금융감독원은 금융보안원과 함께 국내 금융회사를 대상으로 화이트해커 등을 통한 사이버 모의훈련을 올해 2차례 실시했다고 3일 밝혔다. 앞으로 블라인드 기반 훈련을 지속 확대·고도화 할 계획이다.
금감원과 금보원은 올해 훈련 일시·대상·방법을 비공개 한 채 금융회사 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행해 훈련 실효성을 높였다.
상반기에는 전체 은행(19개)을 대상으로 실제 6개 회사에 대한 훈련을 진행했고, 하반기에는 제2금융권 및 생성형AI(LLM)을 대상(83개)으로 총 12개 금융회사 등을 불시에 점검했다.
특히 하반기에는 망분리 로드맵 일환으로 조만간 금융권이 도입하게 될 생성형AI(LLM) 강건성을 점검하고 개선사항을 도출 후 보완하도록 했다.
금감원과 금보원은 올해 2차례 훈련 결과, 대부분의 금융회사는 외부 사이버위협에 충분한 대응역량을 갖추고 있음을 확인했다고 이날 밝혔다. 다만, 일부 금융회사에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견되는 등 미비점을 확인했다.
일례로 A 금융회사 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점이 발견되어 이에 대한 보안통제 강화 등 즉시 조치했다. B 금융회사는 디도스(DDOS) 모의 공격을 받았으나, 이를 적절히 대응하지 못하고 서비스 지연이 발생하는 등 모바일 앱에 대응체계가 부족했다.
금감원은 “금번 훈련을 통해서, 금융회사가 기존 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계 부족한 부분을 보완할 수 있었고, 경영진을 포함해 회사 내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다”면서 “앞으로 블라인드 기반 훈련을 지속 확대·고도도화해 진화하는 사이버위협으로부터 국내 금융권 안전성을 확보하겠다”고 말했다.
김시소 기자 siso@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.