상반기, 전체 은행(19개) 대상으로 실제 6개 회사에 대한 훈련 진행
하반기, 제2금융권 및 생성형AI 대상(83개)으로 총 12개 금융회사 등 불시 점검
웹서버에 허가받지 않은 파일 업로드가 가능한 취약점, 디도스 대응 미흡 등 취약점 발견
[보안뉴스 김경애 기자] 매년 사이버 위협이 양적으로 확대, 질적으로 고도화되어 감에 따라 외부 위협으로부터 국내 금융회사의 전자금융기반시설을 안전하게 보호할 필요성이 높아지고 있다.
[이미지 = gettyimagesbank]
이에 금융보안원은 금융감독원과 함께 상반기에는 전체 은행(19개)을 대상으로 실제 6개 회사에 대한 훈련을 진행했고, 하반기에는 제2금융권 및 생성형AI(LLM)을 대상(83개)으로 총 12개 금융회사 등을 불시에 점검했다. 훈련 일시·대상·방법을 비공개로 금융회사의 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행하여 훈련의 실효성을 높였다는 것.
특히 하반기에는 망분리 로드맵의 일환으로 조만간 금융권이 도입하게 될 생성형AI(LLM)의 강건성을 점검해 금융소비자가 신뢰할 수 있고 안전하게 이용할 수 있도록 개선사항을 도출 후 보완하도록 했다. 생성형AI(LLM)는 어떠한 환경(비정상적 질문)에도 정상적인(견고한) 기능을 유지하는 게 특성이다.
2차례 훈련 결과, 일부 금융회사에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견되는 등 미비점이 나타났다.
훈련결과 취약점 발견 주요 사례를 살펴보면 A 금융회사의 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점이 발견됐다. 이에 회사측은 단일 공격으로 소비자 피해가 가능한 중요 취약점이라는 점을 인식하고, 불법침입 시도에 대한 웹방화벽 설정정보 강화 및 관련 통제기능을 강화했다.
B 금융회사는 디도스(DDOS) 모의 공격을 받았으나, 이를 적절히 대응하지 못하고 서비스 지연이 발생한 바, 모바일 앱(App)에 대응체계의 미비점을 확인했다. 회사측은 모바일 서비스에 대한 사이버 대피소를 추가하고 대외서비스에 대한 점검 절차를 추가하는 등 재발방지 대책을 마련해 시행했다.
이번 훈련을 통해 금융회사가 기존의 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계의 부족한 부분을 보완할 수 있었고, 경영진을 포함해 회사내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다는 평가다.
또한, 훈련사례로 정부 부처대상 ‘사이버보안 우수사례 설명회’를 개최해 훈련의 성과를 공유하고, 타 산업으로의 확대 적용방안도 논의하는 등 국가 전반의 사이버보안 대응능력 향상을 도모했다.
이와 관련 금융위·금감원은 지난 3월 정부부처 대상 ‘사이버보안 우수사례 설명회’를 개최한 바 있다.
금융보안원은 “앞으로 블라인드 기반의 훈련을 지속 확대·고도화해 진화하는 사이버위협으로부터 국내 금융권의 안전성 확보를 위해 지속 노력해 나갈 것”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
하반기, 제2금융권 및 생성형AI 대상(83개)으로 총 12개 금융회사 등 불시 점검
웹서버에 허가받지 않은 파일 업로드가 가능한 취약점, 디도스 대응 미흡 등 취약점 발견
[보안뉴스 김경애 기자] 매년 사이버 위협이 양적으로 확대, 질적으로 고도화되어 감에 따라 외부 위협으로부터 국내 금융회사의 전자금융기반시설을 안전하게 보호할 필요성이 높아지고 있다.
[이미지 = gettyimagesbank]
이에 금융보안원은 금융감독원과 함께 상반기에는 전체 은행(19개)을 대상으로 실제 6개 회사에 대한 훈련을 진행했고, 하반기에는 제2금융권 및 생성형AI(LLM)을 대상(83개)으로 총 12개 금융회사 등을 불시에 점검했다. 훈련 일시·대상·방법을 비공개로 금융회사의 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행하여 훈련의 실효성을 높였다는 것.
특히 하반기에는 망분리 로드맵의 일환으로 조만간 금융권이 도입하게 될 생성형AI(LLM)의 강건성을 점검해 금융소비자가 신뢰할 수 있고 안전하게 이용할 수 있도록 개선사항을 도출 후 보완하도록 했다. 생성형AI(LLM)는 어떠한 환경(비정상적 질문)에도 정상적인(견고한) 기능을 유지하는 게 특성이다.
2차례 훈련 결과, 일부 금융회사에서는 소비자 피해가 유발될 수 있는 중요 취약점이 발견되는 등 미비점이 나타났다.
훈련결과 취약점 발견 주요 사례를 살펴보면 A 금융회사의 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점이 발견됐다. 이에 회사측은 단일 공격으로 소비자 피해가 가능한 중요 취약점이라는 점을 인식하고, 불법침입 시도에 대한 웹방화벽 설정정보 강화 및 관련 통제기능을 강화했다.
B 금융회사는 디도스(DDOS) 모의 공격을 받았으나, 이를 적절히 대응하지 못하고 서비스 지연이 발생한 바, 모바일 앱(App)에 대응체계의 미비점을 확인했다. 회사측은 모바일 서비스에 대한 사이버 대피소를 추가하고 대외서비스에 대한 점검 절차를 추가하는 등 재발방지 대책을 마련해 시행했다.
이번 훈련을 통해 금융회사가 기존의 훈련 방식으로는 확인할 수 없었던 사이버위협 대응체계의 부족한 부분을 보완할 수 있었고, 경영진을 포함해 회사내 전반적인 사이버보안에 대한 관심을 제고할 수 있는 계기가 됐다는 평가다.
또한, 훈련사례로 정부 부처대상 ‘사이버보안 우수사례 설명회’를 개최해 훈련의 성과를 공유하고, 타 산업으로의 확대 적용방안도 논의하는 등 국가 전반의 사이버보안 대응능력 향상을 도모했다.
이와 관련 금융위·금감원은 지난 3월 정부부처 대상 ‘사이버보안 우수사례 설명회’를 개최한 바 있다.
금융보안원은 “앞으로 블라인드 기반의 훈련을 지속 확대·고도화해 진화하는 사이버위협으로부터 국내 금융권의 안전성 확보를 위해 지속 노력해 나갈 것”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
