금융감독원은 금융보안원과 함께 국내 금융회사를 대상으로 '화이트해커(착한 해커)' 등을 통한 사이버 모의훈련을 올해 2차례 실시했다. 그 결과 일부 금융회사에서 소비자 피해가 유발될 수 있는 중요 취약점이 발견되는 등 미비점이 나타나 즉시 보완조치에 나섰다.

3일 금감원에 따르면 금감원과 금보원은 금융회사의 사이버위협 대응을 위해 지난 2월과 10월 화이트해커를 통해 은행업권과 제2금융권 모의해킹 훈련을 각각 실시했다.

훈련은 일시·대상·방법을 비공개로 금융회사의 탐지·방어체계를 불시에 점검하는 블라인드 방식으로 진행해 훈련의 실효성을 높였다.

상반기에는 전체 은행(19개) 중 6개 회사에 대한 훈련을 진행했고, 하반기엔 제2금융권 및 생성형 인공지능(AI) LLM(Large Language Model·생성형AI의 거대언어 모델에 비정상 답변을 유도하도록 조장하는 행위)을 대상 83개 중 총 12개 금융회사 등을 불시에 점검했다.

특히 하반기엔 망분리 로드맵의 일환으로 조만간 금융권이 도입하게 될 생성형AI와 관련해 어떠한 환경(비정상적 질문)에도 정상적인 기능을 유지하는 특성인 '강건성'을 점검해 금융소비자가 신뢰할 수 있고 안전하게 이용할 수 있도록 개선사항을 도출 후 보완하도록 했다.

2차례 훈련 결과 대부분의 금융회사는 외부 사이버위협에 충분한 대응역량을 갖추고 있음을 확인했다. 다만 일부 금융회사는 소비자 피해가 유발될 수 있는 중요 취약점이 발견됐다.

A사의 경우 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점이 확인됐다. B사는 디도스(DDOS) 모의 공격을 받았으나 적절히 대응하지 못하고 서비스 지연이 발생하는 등 모바일앱(App) 대응체계상 미비점이 발견됐다.

이번 훈련을 통해 금융회사가 기존의 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계의 부족한 부분을 보완하고, 경영진을 포함해 회사내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다고 금감원은 평가했다.

금감원 관계자는 "훈련사례로 정부 부처대상 '사이버보안 우수사례 설명회'를 개최해 훈련의 성과를 공유하고 타(他) 산업으로의 확대 적용방안도 논의하는 등 국가 전반의 사이버보안 대응능력 향상을 도모했다"며 "앞으로 블라인드 기반의 훈련을 지속 확대·고도화해 진화하는 사이버 위협으로부터 국내 금융권의 안전성 확보를 위해 지속 노력해 나가겠다"고 말했다.