금융사에 DDoS 공격 모의훈련 의무화 추진

 금융감독당국이 최근 발생한 ‘분산서비스거부(DDoS) 공격’사태와 관련해 금융권에 모의 훈련을 의무화하는 방안을 추진한다. 이는 현재 시행 중인 모의 해킹 훈련(해킹 취약점 진단·분석)에 이은 조치로 이번 사태와 같은 공격을 사전 차단하는 데 크게 도움이 된다는 판단 때문이다.

 16일 관련 금융당국에 따르면 금융감독원은 3분기 DDoS 공격 사태 종합대책을 마련한다는 계획 내에 핵심 대책으로 금융권의 ‘모의 DDoS 공격 훈련’을 의무화 방안을 마련하기로 하고, 이달 업계와 기관의 의견 수렴에 착수하기로 했다.

 최재환 금감원 부국장(IT업무팀장)은 “해킹과 DDoS 공격은 성격이 많이 달라 별도로 해야 할 것”이라며 “정보보호업체 등으로 특정업체를 공격해 대응할 수 있는 방안이 있는지 검토할 것”이라고 말했다.

 금융권 가운데 주요 시중은행은 많게는 분기당 1회씩 모의 해킹 훈련을 한다. 나머지 금융사도 1년에 한두 차례 훈련을 하고 있다. 모의 DDoS 공격 훈련을 하는 곳은 없다. 금감원은 지난해 3월 미래에셋 홈페이지가 DDoS 공격으로 다운됐을 당시 15개 은행을 대상으로 대응 상황을 훈련한 바 있다. 당시는 시스템 공격이 아니라 발생 시 서면 보고체계 등의 수준에 그쳤다. 정보보호 업계는 모의 DDoS 공격을 테스트하는 데 큰 어려움이 없을 것으로 보고 있다. 현재 모의 해킹은 7개 정보보호컨설팅 업체가 활동하며 비즈니스를 한다. 모의 DDoS 공격 훈련은 특정 사이트에 일시에 대량의 트래픽을 걸고 이에 대해 어떻게 차단하고 대처하는지 등을 테스트하는 형태가 될 전망이다.

 금감원은 모의 DDoS 공격 훈련과 별도로 DDoS 대응 요령 매뉴얼을 작성해 보급할 계획이다. 특히 지난 5월 오픈한 차세대시스템에서 보안기능을 대폭 강화하고 DDoS 공격 차단 전용시스템을 도입해 적절하게 대처한 하나은행 대응 사례를 반영할 방침이다. 이번 DDoS 공격에서 금융권 피해가 상대적으로 적은 이유 가운데 하나는 금감원이 자체 구축한 전자금융사고 대응시스템(EFARS) 덕분이라는 평가다. 이달 1일 본격 가동한 EFARS는 사고 발생 시 신고부터 금융회사 전파까지 모든 과정을 온라인화하고 조치 방법을 세분화해 대응시간을 최소화했다. 최재환 부국장은 “오후 6시 은행에서 DDoS 공격을 인지하자 EFARS로 바로 보고받았고 동시에 다른 곳으로 통보됐다”고 밝혔다.

  김준배·정진욱기자 joon@etnews.co.kr