[미디어펜=류준현 기자] 금융감독원은 금융보안원과 함께 국내 금융회사를 대상으로 화이트해커(착한해커) 등을 통한 사이버 모의훈련을 올해 상하반기에 걸쳐 실시했다고 3일 밝혔다.

올해 당국은 훈련 일시·대상·방법을 비공개로 해 금융회사의 탐지·방어 체계를 불시 점검하는 '블라인드 방식' 훈련을 진행했다. 상반기에는 국내 19개 은행 중 6개사를, 하반기에는 증권·보험·카드 등 2금융권 및 생성형AI 등 83개사 중 12개사를 각각 대상으로 선정해 서버해킹, 디도스공격, LLM공격 등의 모의훈련을 불시에 가졌다. 

당국이 보안원과 두 차례 훈련을 가진 결과, 대부분의 금융회사는 외부 사이버위협에 충분한 대응역량을 갖추고 있는 것으로 나타났다. 다만 일부에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견되기도 했다.

대표적으로 A 금융회사는 웹서버에 허가받지 않은 파일 업로드가 취약점으로 발견돼 당국이 이에 대한 보안통제 강화 등을 즉시 조치했다. 이에 회사측은 단일 공격으로 소비자 피해가 가능한 중요 취약점임을 인식하고, 불법침입 시도에 대한 웹방화벽 설정정보 강화 및 관련 통제기능을 강화하기로 했다.

B 금융회사는 디도스 모의 공격을 받았는데, 이를 적절히 대응하지 못하고 서비스 지연이 발생하는 등 모바일 앱의 대응체계가 부족했던 것으로 알려졌다. 이에 회사측은 모바일 서비스에 대한 사이버 대피소를 추가하고 대외서비스에 대한 점검 절차를 추가하는 등 재발방지 대책을 마련하기로 했다.

금감원 관계자는 "앞으로 블라인드 기반의 훈련을 지속 확대·고도화해 진화하는 사이버위협으로부터 국내 금융권의 안전성 확보를 위해 지속 노력해 나가겠다"고 전했다.