은행권이 일주일 동안 실전 같은 모의 해킹 훈련을 치른다. 화이트해커를 동원한 사상 첫 금융권 불시 점검이다.
금융감독원과 금융보안원은 15일부터 21일까지 은행권을 대상으로 화이트해커를 통한 '블라인드 사이버 모의해킹(공격·방어) 훈련'을 실시한다고 14일 밝혔다.
이번 훈련은 금융보안원 화이트해커팀 '레드 아이리스(RED IRIS)'가 참여해 19개 은행을 대상으로 진행한다. 침해사고대응기관인 금보원이 가상 공격자가 돼 화이트해커를 통한 서버 해킹과 디도스 공격을 시도하고, 은행은 이에 맞서 공격을 탐지·방어한다.
일례로 디도스 공격이 들어올 경우 해당 은행은 비상대응센터로 트래픽을 전환해 업무연속성을 유지하는 등 대응해야 한다.
이번 훈련은 사상 처음으로 공격과 방어 양측이 전체 일정만 공유한 상태에서 불시에 공격을 진행하는 '블라인드' 방식으로 진행한다.
공격 업무를 맡은 레드 아이리스팀은 지난해 11월 금보원이 창설한 화이트해커 전문집단이다. 금융권에서 다년간 모의해킹을 수행한 전문가와 각종 해킹대회 수상자 등 30명 내외 화이트해커로 구성되어 있다. 올해 첫 훈련에는 6명 가량이 참가해 은행권 보안 취약점을 공격한다.
금보원 관계자는 “지난 해까지 훈련이 서로 공격 방식과 일시 등을 어느정도 합의해 합을 맞추는 방식이었다면, 올해에는 전체 일정 외에 아무 것도 공유하지 않는 채 진행한다”고 말했다.
화이트해커를 통한 취약점 점검은 금융권에서 최근 활발하게 이뤄지고 있다. 은행도 각각 화이트해커팀을 구성해 자체적으로 '구멍'을 점검하고 있다.
우리은행은 신규 서비스 출시시 보안성 심의를 거쳐 취약점을 점검한다. 본부 정보보호부 내 'ICT보안진단'팀에서 IT보안 진단, 보안성 검토, 모의해킹수행·기술연구, 악성코드 분석을 통해 침해사고를 예방한다. 하나금융그룹 역시 침해 대응 전문가, 위협 분석 전문가 등 보안 전문 인력으로 구성된 전담 조직이 침입 탐지, 분석, 차단 등 침해 대응과 침해 예방 업무를 수행 중이다.
토스뱅크는 모회사 토스가 가진 보안 역량을 함께 활용한다. 세계 해킹대회 '데프콘 CFT'에서 2015년과 2018년 우승을 차지한 화이트해커 이종호(헬소닉) 리더가 11명으로 구성된 보안기술(화이트해커)팀을 이끈다. 이들은 레드팀(공격) 블루팀(방어)로 나눠 수시로 모의 해킹을 진행해 보안 취약점을 잡아낸다. 보안 취약점을 발견한 외부 해커에게 보상을 지급하는 '버그바운티'도 운영한다.
금융권을 노린 사이버 공격은 날이 갈수록 그 수법과 규모가 진화하는 중이다.
국제금융센터는 지난 달 해외 분석 기관 자료를 바탕으로 2024년 글로벌 은행산업 5대 잠재 리스크( △사이버 공격 △주택가격 △상업용부동산 △그림자금융 △중국경제) 중 사이버 공격을 첫 손에 꼽았다.
김시소 기자 siso@etnews.com, 이형두 기자 dudu@etnews.com
