금감원, 사이버위협 대응 모의훈련 실시…"고도화하는 위협에 대응할 것"

[이데일리 이수빈 기자] 금융감독원이 금융보안원과 함께 국내 금융회사를 대상으로 화이트해커 등을 통한 사이버 모의훈련을 올해 2차례 실시했다고 3일 밝혔다. 상반기에는 은행, 하반기에는 제2금융권 및 생성형 AI를 대상으로 모의훈련을 진행했다.

금감원은 “매년 사이버위협이 양적으로 확대, 질적으로 고도화되어 감에 따라 외부 위협으로부터 국내 금융회사의 전자금융기반시설을 안전하게 보호할 필요성이 높아지고 있다”며 이번 모의훈련 실시 취지를 밝혔다.

이번 훈련은 일시와 대상, 방법을 비공개로 해 금융회사의 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행됐다. 상반기에는 전체 은행(19개)을 대상으로 실제 6개 회사에 대한 훈련을 진행했고 하반기에는 제2금융권 및 생성형 AI를 대상(83개)으로 총 12개 금융회사 등을 점검했다.

특히 이번 훈련에서는 망분리 로드맵의 일환으로 조만간 금융권이 도입하게 될 생성형 AI의 강건성을 점검했다. 금감원은 이를 통해 “금융소비자가 신뢰할 수 있고 안전하게 이용할 수 있도록 개선사항을 도출 후 보완하도록 했다”고 밝혔다.

이번 2차례 훈련 결과, 대부분의 금융회사는 외부 사이버위협에 충분한 대응 역량을 갖추고 있음을 확인했다고 금감원은 밝혔다. 다만 일부 금융회사에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견돼 즉시 보완 조치가 이뤄졌다.

금감원이 밝힌 사례에 따르면 A 금융회사의 웹서버에 허락받지 않은 파일 업로드가 가능한 취약점이 발견돼 회사측은 불법침임 시도에 대한 웹방화벽 설정정보를 강화하고 관련 통제기능을 강화하는 조치를 취했다. B 금융회사는 디도스(DDOS) 모의 공격을 받았으나 이를 적절히 대응하지 못하고 서비스 지연이 발생하는 문제를 보였다. 이에 회사측은 모바일 서비스에 대한 사이버 대피소를 추가하고 대외서비스에 대한 점검 절차를 추가하는 등 재발방지 대책을 마련해 시행하기로 했다.

금감원은 “금번 훈련을 통해서 금융회사가 기존의 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계의 부족한 부분을 보완할 수 있었고 경영진을 포함해 회사내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 되었다”고 평가하며 “앞으로도 블라인드 기반의 훈련을 지속 확대·고도화하여 진화하는 사이버 위협으로부터 국내 금융권의 안전성 확보를 위해 지속 노력해나가겠다”고 했다.