올해 두 차례 진행…18개 금융사에 훈련 실시
일시·대상·방법 비공개 '블라인드 방식' 도입
"일부 금융사서 취약점 발견…즉각 보완 조치"
일시·대상·방법 비공개 '블라인드 방식' 도입
"일부 금융사서 취약점 발견…즉각 보완 조치"
|
3일 금융당국에 따르면, 금감원은 앞서 지난 2월과 10월에 금융보안원과 함께 국내 금융사를 대상으로 화이트해커를 통한 사이버 모의훈련을 총 두 차례 실시했다.
올해 상반기에는 전체 은행 19곳 중 6곳에서 훈련을 진행했고, 하반기에는 제2금융권과 생성형 AI(LLM, 대규모 언어 모델)를 대상(83개)으로 총 12개 금융사를 불시에 점검했다. 특히 훈련 일시와 대상, 방법을 모두 사전에 공개하지 않는 '블라인드 방식'을 채택해 훈련의 실효성을 높였다.
금감원은 이번 두 차례 훈련에서 대부분의 금융사가 외부 사이버위협에 대한 충분한 대응 역량을 갖추고 있음을 확인했지만, 일부 금융사에선 소비자 피해가 유발될 수 있는 중요 취약점이 발견돼 보완 조치를 했다고 설명했다.
A금융사의 경우, 웹서버에 허가받지 않은 파일 업로드가 가능하다는 취약점이 발견돼 불법침입 시도에 대한 웹 방화벽 설정 정보를 강화하고 관련 통제기능을 강화하도록 조치했다. B금융사는 디도스(DDOS) 모의 공격에 적절히 대응하지 못해 서비스 지연이 발생하는 등 대응 체계 미비점을 확인, 재발 방지 대책을 마련하고 시행토록 했다.
금감원은 이번 훈련을 통해 각 금융사들이 기존 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계의 부족한 부분을 보완할 수 있었다며, 향후 정부 부처대상 '사이버보안 우수사례 설명회'를 통해 훈련 성과와 우수사례를 공유할 예정이라고 밝혔다.
금감원 관계자는 "앞으로 블라인드 기반의 훈련을 지속적으로 확대하고 고도화하여, 진화하는 사이버 위협으로부터 국내 금융권의 안전성 확보를 위해 계속 노력해 나갈 것"이라고 강조했다.
