망분리 완화 괜찮을까…금융권 첫 모의해킹했더니 일부 취약점 발견

올해 최초 금융권 대상 모의 해킹 훈련… 생성형 AI 적절성도 점검

/사진제공=게티이미지뱅크

금융권 최초로 실시된 모의 해킹 훈련에서 일부 금융사가 취약점을 드러냈다. 웹서버에 미허가 파일 업로드를 허용한 금융사가 있는가 하면 DDOS(디도스) 공격에 제대로 대응하지 못한 곳도 있었다. 금융권 망분리 규제 완화를 앞두고 사이버공격 대응 필요성이 커져 금융당국은 즉시 취약점을 보완하는 조치를 내렸다.

금융감독원은 3일 이같은 내용의 '금융권 블라인드 모의훈련 성과'를 발표했다. 금감원은 금융보안원과 함께 국내 금융사를 대상으로 올해 2차례 모의 해킹 훈련을 실시했다. 금융당국이 금융사를 상대로 모의 해킹 훈련을 실시한 건 올해가 처음이다.

상반기에는 6개 은행을 대상으로 훈련을 진행했다. 하반기에는 증권·보험·카드 12개 사가 대상이 됐다. 훈련은 일시·대상·방법을 비공개로 하고 금융사 탐지·방어 체계를 불시에 점검하는 블라인드 방식으로 진행됐다.

금융권 모의 해킹 훈련의 첫 성적표는 대체로 준수했다. 금감원은 대부분 금융사가 외부 사이버 위협에 충분한 대응 역량을 갖추고 있음을 확인했다고 밝혔다. 하지만 일부 금융사는 소비자 피해가 유발될 수 있는 중대한 취약점을 드러냈다.

A 금융사는 자체 웹서버에 허가받지 않은 파일 업로드가 가능한 취약점을 드러냈다. 허가받지 않은 파일이 업로드되면 해킹 공격에 노출될 수 있다. 이에 금감원은 즉시 보안 강화 조치를 지시했다. 회사 측은 단일 공격으로 소비자 피해가 발생할 수 있는 중요 취약점임을 인식하고, 불법 침입 시도에 대비해 웹 방화벽을 강화하기로 했다.

B 금융사는 DDOS 모의 공격을 받았으나 적절히 대응하지 못했다. 이에 모바일 앱 서비스에서 지연이 발생했다. 회사 측은 모바일 서비스에 사이버 대피소를 추가하고, 대외 서비스 점검 절차를 추가하는 등 재발 방지 대책을 마련하겠다고 밝혔다.

이번 모의 훈련에선 금융사의 생성형 AI(인공지능) 기능도 점검했다. 앞서 금융당국은 금융권 망분리 규제를 완화하겠다고 밝혔다. 망분리 규제가 완화되면 금융사는 외부 클라우드를 활용한 생성형 AI를 서비스에 활용할 수 있게 된다.

금감원은 금융권 생성형 AI의 강건성을 집중적으로 점검했다. 강건성이란 AI가 어떠한 환경에서도 정상적인 기능을 유지하는 특성이다. AI에 비정상적인 질문을 반복하고 이에 대한 답변을 유도하는 방식으로 검증한다. 금감원은 생성형 AI 관련한 개선사항을 도출하고 금융사에 보완을 지시했다.

금감원 관계자는 "생성형 AI는 고객에게 편향적이거나 불법적인 정보를 제공할 위험이 있어 이번에 점검해본 것"이라며 "대부분 금융사의 AI가 괜찮았지만 일부 보완 사례가 있었다"고 설명했다.

이어 "금융사 망분리 규제가 완화되면 외부와의 접촉면이 넓어지고, 보안 우려는 높아질 수밖에 없다"며 "올해 최초로 기존과는 다른 방식으로 훈련을 진행해 성과를 도출했다"고 덧붙였다.

이창섭 기자 thrivingfire21@mt.co.kr