금융당국, 잇단 금융권 해킹 등 사이버보안 사고 ‘긴급 대응’

[국방신문=양기반 기자] 금융당국이 사이버보안을 강화하기 위해 보안장치를 제대로 갖추지 않은 금융사 과태료 기준 강화하고 모의 해킹 훈련을 진행한다.

최근 SGI서울보증과 웰컴금융그룹이 랜섬웨어 해킹 공격을 받은 데 이어 롯데카드도 사이버 침해사고를 내자 금융당국이 칼을 빼든 것이다.

금융감독원은 금융보안원과 함께 오는 4일부터 10월 31일까지 전 금융권을 대상으로 ‘블라인드 모의 해킹(공격·방어) 훈련’을 한다고 3일 밝혔다.

블라인드 모의 해킹 훈련은 공격 시기와 대상을 사전에 알리지 않고 불시에 하는 훈련(공격)으로, 금융회사의 해킹 탐지·방어 체계를 점검하기 위한 목적이다.

금융보안원이 가상의 공격자가 돼 서버 해킹과 디도스 공격을 시도하면, 금융회사는 이를 탐지·차단하는 방식으로 대응 적정성을 확인하고 평가하는 훈련이다.

올해는 금융권 해킹 등 사이버 침해사고가 잇따라 발생한 점을 감안해 공격 횟수 등 훈련 집중도를 강화하고 기간도 기존 1주일에서 2개월로 확대하는 등 훈련 강도를 대폭 높인다.

훈련 대상도 지난해 은행·보험·증권·카드 등 4개 권역에서 올해는 캐피탈, 저축은행, 상호금융, 전자금융 등까지 넓힌다.

금융감독원은 최근 금융권 랜섬웨어 침해사고 분석 결과 외부 접속 장비의 보안 취약점이 주요 공격 대상으로 확인하고 대응책을 모색해 왔다.

금감원은 제조사 기술 지원이 종료된 노후 장비를 운영하거나 SSL-VPN 등 장비를 인터넷 망에 직접 연결하는 등 외부 접속 인프라의 보안 조치가 미흡한 경우 해킹사고 발생 우려가 크다고 평가했다.

이에 즉각적인 보안 통제 강화가 필요하다고 판단해 금융회사에 ▲네트워크 및 시스템 접근 통제 강화 ▲주요 데이터에 대한 정기적인 백업 및 복구체계 강화 등을 요구한 바 있다.

금감원은 하반기부터 랜섬웨어 등 사이버 위협 대응체계와 전산 장애 발생 시 복구를 위한 백업 현황 등을 중점적으로 점검해 금융권 IT 부문의 안전성과 신뢰도 강화를 유도해 나갈 방침이다.

한편, 금융위원회는 이날 정례회의를 열고 해킹 등 사이버보안 사고를 막기 위한 보안장치를 제대로 갖추지 않은 금융사에 과태료를 부과하는 기준을 강화하는 방안을 논의했다.