“해킹 공격 막자” 금융권 ‘화이트햇 모의해킹 컨설팅’ 확산

공격자 관점 보안 시스템 점검 확대
금융보안원 작년 취약점 94건 발견
카뱅 모의해킹 사업자 선정 등 강화

잇따른 금융권 랜섬웨어 공격에 이어 정부가 보이스피싱 피해액을 금융사가 배상하도록 하는 법안까지 추진하면서 금융권에 해킹 대응 비상이 걸렸다. 금융사들은 최악의 사태에 대비하기 위해 공격자 관점에서 보안 시스템을 점검하는 ‘화이트햇(White-hat) 모의해킹 컨설팅’을 더욱 강화하고 있다.

29일 금융권에 따르면 최근 금융사의 모의해킹 컨설팅 수요가 증가하고 있다. 라온시큐어·스텔리언·엔키화이트햇·티오리 등 국내 보안기업들도 높아진 고객사 수요에 발맞춰 대응 중이다. 유안타증권에 따르면 공공·금융기관, 민간기업을 대상으로 프리미엄 모의해킹 등을 제공하는 라온시큐어의 화이트햇 컨설팅 실적은 올해 상반기 기준 전년 대비 40% 늘어난 것으로 집계됐다. 올해 들어서만 금융사 해킹 피해는 5000건에 달하는 것으로 나타나 금융권이 모의해킹에 집중하는 것이다.

금융보안원 역시 모의해킹 점검을 강화하고 있다. 2023년 3건이던 모의해킹 단독 점검은 2024년 7건으로 늘었으며, 지난해 점검에서는 94건의 취약점이 발견됐다. 금융권 전자금융기반시설 취약점 분석·평가 결과 ▷전자금융기반시설 점검(25회→24회) ▷정보기술부문 사업평가(11회→3회) ▷모의해킹 단독점검(3회→7회) ▷확인점검(60회→71회) 등으로 집계됐다.

금융사들도 자체적으로 화이트햇 조직과 협력해 보안 점검을 강화하고 있다. 카카오뱅크는 지난 26일 화이트햇 모의해킹 사업자 선정을 위한 입찰 공고를 내고, 전자금융거래 서비스와 환경에 대한 공격자 관점의 점검을 추진 중이다. 카카오뱅크는 연 3회 이상 모의해킹을 실시하고 있으며, 연 1회 전사 자산을 대상으로 취약점 분석·평가도 병행한다. 금융보안원과 협력해 통합보안관제, 취약점 점검, 침해사고 모의훈련을 수행하고 있으며, 산학협력으로 AI 기반 보안기술 연구와 전자금융 보안 아키텍처 고도화도 추진 중이다.

케이뱅크는 분기별 1회 모의해킹을 기본으로 신규 서비스 출시 때마다 별도 점검을 진행한다. 토스뱅크는 2023년 4회, 2024년 5회의 모의해킹을 실시했으며, 올해 들어서도 이미 2회를 완료하고 추가 2회를 준비하고 있다.

한 은행권 관계자는 “통상 연 3~4회 정도 주기적으로 모의해킹을 시행한다”며 “매년 고객 수가 늘고 신상품과 서비스가 다양해지면서 모의해킹을 통한 보안 점검 횟수도 증가하는 추세”라고 말했다.

전문가들은 금융사 해킹 피해가 반복되는 원인으로 인적·물적 금융보안 시스템 업그레이드 지연을 꼽으며, 보안 예산 확대가 필요하다고 지적했다.

황석진 동국대 국제정보보호대학원 책임교수는 “금융사들이 보안 장비 교체와 인력 확대를 비용으로만 인식하는 경향이 있다”며 “해커들은 디지털 환경 변화를 연구하고 적극적으로 대응하는데, 금융권은 여전히 보안 투자 규모가 충분하지 않은 상황”이라고 말했다. 정호원 기자