|
이번 훈련은 일시와 대상, 방법을 비공개로 해 금융회사의 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행됐다. 상반기에는 전체 은행(19개)을 대상으로 실제 6개 회사에 대한 훈련을 진행했고 하반기에는 제2금융권 및 생성형 AI를 대상(83개)으로 총 12개 금융회사 등을 점검했다.
특히 이번 훈련에서는 망분리 로드맵의 일환으로 조만간 금융권이 도입하게 될 생성형 AI의 강건성을 점검했다. 금감원은 이를 통해 “금융소비자가 신뢰할 수 있고 안전하게 이용할 수 있도록 개선사항을 도출 후 보완하도록 했다”고 밝혔다.
이번 2차례 훈련 결과, 대부분의 금융회사는 외부 사이버위협에 충분한 대응 역량을 갖추고 있음을 확인했다고 금감원은 밝혔다. 다만 일부 금융회사에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견돼 즉시 보완 조치가 이뤄졌다.
금감원이 밝힌 사례에 따르면 A 금융회사의 웹서버에 허락받지 않은 파일 업로드가 가능한 취약점이 발견돼 회사측은 불법침임 시도에 대한 웹방화벽 설정정보를 강화하고 관련 통제기능을 강화하는 조치를 취했다. B 금융회사는 디도스(DDOS) 모의 공격을 받았으나 이를 적절히 대응하지 못하고 서비스 지연이 발생하는 문제를 보였다. 이에 회사측은 모바일 서비스에 대한 사이버 대피소를 추가하고 대외서비스에 대한 점검 절차를 추가하는 등 재발방지 대책을 마련해 시행하기로 했다.
금감원은 “금번 훈련을 통해서 금융회사가 기존의 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계의 부족한 부분을 보완할 수 있었고 경영진을 포함해 회사내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 되었다”고 평가하며 “앞으로도 블라인드 기반의 훈련을 지속 확대·고도화하여 진화하는 사이버 위협으로부터 국내 금융권의 안전성 확보를 위해 지속 노력해나가겠다”고 했다.
