금융권 보안 취약점 블라인드 테스트가 확대된다.
금융감독원은 금융보안원과 함께 국내 금융회사를 대상으로 화이트해커 등을 통한 사이버 모의훈련을 올해 2차례 실시했다고 3일 밝혔다. 앞으로 블라인드 기반 훈련을 지속 확대·고도화 할 계획이다.
금감원과 금보원은 올해 훈련 일시·대상·방법을 비공개 한 채 금융회사 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행해 훈련 실효성을 높였다.
상반기에는 전체 은행(19개)을 대상으로 실제 6개 회사에 대한 훈련을 진행했고, 하반기에는 제2금융권 및 생성형AI(LLM)을 대상(83개)으로 총 12개 금융회사 등을 불시에 점검했다.
특히 하반기에는 망분리 로드맵 일환으로 조만간 금융권이 도입하게 될 생성형AI(LLM) 강건성을 점검하고 개선사항을 도출 후 보완하도록 했다.
금감원과 금보원은 올해 2차례 훈련 결과, 대부분의 금융회사는 외부 사이버위협에 충분한 대응역량을 갖추고 있음을 확인했다고 이날 밝혔다. 다만, 일부 금융회사에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견되는 등 미비점을 확인했다.
일례로 A 금융회사 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점이 발견되어 이에 대한 보안통제 강화 등 즉시 조치했다. B 금융회사는 디도스(DDOS) 모의 공격을 받았으나, 이를 적절히 대응하지 못하고 서비스 지연이 발생하는 등 모바일 앱에 대응체계가 부족했다.
금감원은 “금번 훈련을 통해서, 금융회사가 기존 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계 부족한 부분을 보완할 수 있었고, 경영진을 포함해 회사 내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다”면서 “앞으로 블라인드 기반 훈련을 지속 확대·고도도화해 진화하는 사이버위협으로부터 국내 금융권 안전성을 확보하겠다”고 말했다.
김시소 기자 siso@etnews.com
