해커처럼 불시 공격으로 금융보안 점검… “10곳중 9곳 안전해도 1곳 약하면 뚫려”

금보원 침해대응팀-화이트해커팀
“은행들 3분내 공격 탐지하고 차단
모의해킹 훈련 하반기 확대 시행”

금융보안원 레드 아이리스팀의 김현민 수석, 정영석 팀장, 침해대응훈련팀의 이득기 팀장, 채희수 책임(왼쪽부터). 신원건 기자 laputa@donga.com

“공격이 들어오기 쉬운 10곳 중 9곳이 안전해도 1곳이 약하면 금융 시스템 전체가 위험해집니다. 블랙 해커는 안전한 부분이 아닌 가장 취약한 지점을 찾기 때문이죠.”

김현민 금융보안원 레드 아이리스팀 수석은 지난달 28일 동아일보와의 인터뷰에서 이같이 말했다. 화이트 해커로 구성된 레드 아이리스팀은 ‘블라인드 사이버 모의해킹 훈련’에서 실제로 금융회사에 해킹 공격을 시도하는 역할을 맡았다.

금보원은 지난달 15일부터 21일까지 금융감독원과 함께 해당 훈련을 진행했다. 미리 협의된 시나리오를 기반으로 이뤄진 기존 훈련과 달리 훈련 내용을 사전에 알리지 않고 불시에 실시하는 블라인드 방식이 처음으로 도입됐다. 김 수석은 “이번과 같은 훈련이 상시로 이뤄지면 금융권 보안 수준을 높이는 데 도움이 될 것”이라고 덧붙였다.

이는 사이버 위협이 다양해지면서 금융권의 대응 체계를 객관적으로 판단할 필요성이 커졌기 때문이다. 금융회사는 고객 서비스, 내부 인프라 운영에 외부의 제3자가 개발한 소프트웨어를 사용하는데, 최근 이런 ‘제3자 소프트웨어’가 해커의 공격 대상이 되고 있다. 김 수석은 “이용자가 많은 PC용 보안 인증 소프트웨어를 공격해 악성 코드를 유포하거나 정보를 유출하려는 시도가 증가하고 있다”며 “이 경우 해당 소프트웨어를 이용하는 수백만 명의 고객, 수십 개의 회사가 단번에 공격 대상이 될 수 있어 주의가 필요하다”고 설명했다.

이번 훈련 결과 미미한 수준의 취약점이 일부 발견됐지만 은행권의 보안 수준은 전반적으로 높은 것으로 나타났다. 채희수 침해대응훈련팀 책임은 “대부분의 은행이 3분 내에 공격을 최초로 탐지하고 차단해 보안 체계를 잘 갖춘 것으로 판단했다”고 분석했다.

금융회사가 빠르게 진화하는 사이버 위협에 대응해야 한다는 지적도 나왔다. 정영석 레드 아이리스팀장은 “금융권의 보안 수준을 상향 평준화하기 위해서는 우수한 인력, 장비를 확충하려는 노력도 필요하다”고 말했다.

이득기 침해대응훈련팀장은 “금감원과 협의를 거쳐 블라인드 모의 훈련을 올해 하반기(7∼12월) 다른 금융업권으로 확대 시행할 예정”이라며 “업권별로 특징적인 해킹 유형을 훈련에 반영할 계획”이라고 밝혔다.

김수연 기자 syeon@donga.com