195개 금융사, 11일부터 침해사고 대응훈련 돌입

디도스, 해킹 공격, APT 공격 대응 실전 훈련 실시
사물인터넷 기반 디도스 공격, 랜섬웨어 등 최신 금융 IT·보안 이슈 반영

[보안뉴스 김경애] 북한의 사이버위협 고조됨에 따라 금융보안원(원장 허창언)에서 ‘2016년 침해사고 대응훈련’에 돌입한다.

이는 사이버위협에 대한 금융기관의 대응 역량과 금융기관 임직원의 정보보호 인식을 제고하기 위한 것으로 오는 11일부터 실시한다.

올해 훈련은 2016년에 신규 회원으로 가입한 전자금융업자 등을 포함해 195개의 금융회사를 대상으로 진행되며, 분산서비스거부(DDoS : Distributed Denial of Service) 공격, 해킹(Hacking) 공격 및 지능형지속위협(APT:Advanced Persistent Threat) 공격에 대한 각 대응훈련을 실전훈련으로 진행할 예정이다.

특히, 사물인터넷(IoT) 기반 디도스 공격, 랜섬웨어 등의 최신 금융 IT·보안 이슈를 훈련에 반영하여 실제 침해사고 발생시에 응급 복구 및 피해 확산 방지 등이 신속히 이루어지도록 침해사고 대응훈련 계획을 수립했다.

금융보안원은 훈련에 특화된 맞춤형 해킹툴 및 다양한 기능의 훈련용 악성코드를 직접 제작해 금융회사 업무에 미치는 영향은 최소화하면서도 실효성은 높인 침해사고 대응훈련을 진행할 방침이다.

금융보안원 허창언 원장은 “실제 사이버 침해사고가 발생하면 평소에 훈련이 잘된 조직과 그렇지 않은 조직의 피해 규모는 엄청난 차이가 있다”면서 “훈련을 실전같이 대응하는 조직일수록 평소에도 침해사고 준비 수준이 높은 경향이 있다”고 언급했다.

아울러 “북한발 사이버공격 가능성에 대비하여 금융분야 사이버위기경보가 ‘주의’ 단계로 격상되고 금융권에 대한 사이버위협 발생이 우려되는 상황에서 금융회사는 그 어느 때보다 훈련을 통한 침해사고 대응체계 점검 및 관리에 유념해 주시길 당부드린다”고 강조했다.

금융보안원은 침해사고 대응훈련 과정에서 발견된 문제점들을 지속적으로 개선․보완하여 금융회사 침해사고 대응체계 강화를 지원할 계획이라고 밝혔다.

[용어 설명]
분산서비스거부 공격
다수의 컴퓨터 시스템을 통해 공격대상 시스템에 대량 접속하여 서비스 제공을 불가능하게 만드는 공격

해킹 공격
공격대상 시스템의 취약점 등을 이용하여 시스템 변조, 접근 권한 획득 등을 시도하는 공격

지능형지속위협 공격
악성 이메일 등을 통해 공격대상 시스템을 악성코드에 감염시켜 시스템 파괴, 정보 유출 등을 지속적으로 시도하는 공격

랜섬웨어
인터넷 사용자의 컴퓨터에 잠입해 내부의 파일 등을 암호화해 열지 못하도록 만든 후 복구대가로 금전을 요구하는 악성코드
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)