우리나라 금융 인프라는 최첨단 정보기술(IT)을 기반으로 세계 최고 수준이다. 인터넷·모바일 뱅킹은 글로벌 선도국이다.
역설적으로 우리나라 금융 기관을 타깃으로 한 사이버 공격은 갈수록 수법과 규모가 고도화되고 커지고 있다. 사이버 공격이 주기적으로 반복되고 있는 것도 사실이다. 일일이 열거하기 어려울 만큼 사이버 공격이 많았고, 그로 인한 피해도 적지 않았다.
그동안 학습효과로 정보보호에 대한 인식이 확산됐고, 사이버 공격에 대한 대응 수준도 과거와 비교하면 확연하게 높아졌다. 그렇다고 정보보호를 잠시라도 소홀해선 안된다.
마침 은행 대상 사상 처음으로 실전을 방불케하는 훈련이 진행된다니 반갑다. 더 개선점을 찾을 좋은 기회다.
금융감독원과 금융보안원은 15일부터 21일까지 은행을 대상으로 화이트해커를 통한 '블라인드 사이버 모의해킹(공격·방어) 훈련'을 실시한다.
훈련은 금융보안원 화이트해커팀 '레드 아이리스(RED IRIS)'가 참여, 19개 은행을 대상으로 진행한다. 침해사고대응기관인 금보원이 가상 공격자가 돼 화이트해커를 통한 서버 해킹과 디도스 공격을 시도하고, 은행은 이에 맞서 공격을 탐지·방어하는 방식이다.
이는 사상 처음으로 공격과 방어 양측이 전체 일정만 공유한 상태에서 불시에 공격을 진행하는 '블라인드' 방식으로 이뤄진다. 공격 업무를 맡은 레드 아이리스팀은 지난해 11월 금보원이 창설한 화이트해커 전문집단이다. 금융권에서 다년간 모의해킹을 수행한 전문가와 각종 해킹대회 수상자 등 30명 내외 화이트해커로 구성됐다.
예측불허의 공방전, 실전같은 훈련이 진행될 것으로 예상된다.
훈련을 통해 은행이 사이버 공격에 대응할 수 있는 보안 시스템을 제대로 구축하고 있는 지, 프로그램이나 전문인력은 충분히 갖췄는 지 등을 확인할 수 있을 것이다.
차제에 각각의 은행이 노출돼 있지만, 인지하지 못하고 있던 위험요인을 찾아 필요한 조치를 강구함으로써 혹시 모를 사이버 공격의 피해를 최소화할 수 있는 대응 방안을 도출한다면 훈련의 의미는 배가될 것이다.
IT와 금융, 보안을 별개라고 생각할 수 없는 단계다. 당국과 은행이 훈련을 통해 사이버공격 등 정보보안 근본을 재점검하는 기회가 되길 기대한다. 그래야 세계 최고 금융 IT에 걸맞는 성숙한 사이버 대응 체계 구축이 가능하다.