금감원, 전 금융권 대상 화이트해커로 사이버 방어력 점검

[이데일리 최정훈 기자] 금융회사의 사이버 위협 대응 역량을 점검하기 위한 대규모 모의해킹 훈련이 시작된다.

금융감독원은 금융보안원과 함께 오는 4일부터 10월 31일까지 두 달간 전 금융권을 대상으로 ‘블라인드 모의해킹(공격·방어) 훈련’을 실시한다고 3일 밝혔다. 블라인드 모의해킹은 훈련 대상과 일정을 사전에 알리지 않고 불시에 해킹 공격을 시도해 금융회사의 탐지·대응 능력을 점검하는 방식이다.

금감원은 “최근 금융권 내외부에서 해킹 등 침해사고가 잇따르고 있는 만큼 올해 훈련은 강도를 높였다”고 설명했다. 지난해에는 은행과 제2금융권 일부를 대상으로 2~3주간 실시했지만, 올해는 훈련 기간을 두 달로 늘리고 캐피탈·저축은행·상호금융·전자금융사까지 대상을 확대했다.

또 최근 사고가 잦았던 원격접속 인프라(VPN·MDM 등)를 활용하는 금융회사에는 화이트해커가 직접 현장에 투입돼 취약점 점검을 벌인다. 금융보안원 ‘RED IRIS팀’이 서버 침투, 디도스 공격 등을 시도하고 금융회사는 실시간 탐지와 차단, 비상대응센터 전환 등을 통해 업무연속성을 유지하는지를 평가받는다.

지난해 훈련에서도 일부 금융사에서 취약점이 드러나 즉시 보완 조치가 이뤄진 바 있다. 금감원은 올해도 발견된 문제점은 금융권 전체에 공유해 대응 절차를 개선할 계획이다.

금감원 관계자는 “블라인드 모의해킹, 보안취약점 신고포상제, 통합관제시스템(FIRST) 구축 등 다양한 수단을 통해 금융권의 보안 역량을 높여 나갈 것”이라며 “정부·유관기관과 협력해 변화하는 디지털 금융 환경에 맞는 감독대책을 지속 강화하겠다”고 말했다.