대형 플랫폼 해킹 사고가 잇따르면서 금융지주들이 외부 위협 대응 체계를 전면 재정비한다. 롯데카드, 업비트, 쿠팡까지 대규모 침해 사고가 발생하며 외부에 유출된 고객 정보가 증가한 만큼, 외부 접점 보안과 출입 통로 관리 체계를 강화하는 추세다.
KB금융은 새해부터 그룹 전체와 지주회사 단위 정보보호 체계 점검에 착수한다. 우선 2027~2029년 그룹 중장기 정보보호 마스터플랜을 수립한다. 디지털 전환 가속화, 규제 강화, 사이버위협 고도화에 대응하기 위한 전략 로드맵을 마련하는 작업이다. 개인정보보보호법, 신용정보법, 금융지주회사법, 전자금융감독법, 정보통신망법 등 개정 법령을 반영해 그룹 컴플라이언스 점검 체크리스트를 최신화하고 내부 규정·지침 개정도 병행한다.
모의해킹 시나리오도 업데이트한다. 국내외 취약점 분석 기준과 최신 보안 이슈를 반영해 점검 시나리오를 확대한다. 웹·애플리케이션(앱)·시스템 기반 공격 사례를 중심으로 실제 공격 유형을 재설계하고, 이를 바탕으로 선제 점검 범위를 넓힌다.
지주회사 단위 점검도 강화된다. KB금융은 지주 전체 IT 인프라와 정보보호 시스템 취약점을 다시 진단한다. 공개용 웹사이트와 모바일 앱을 대상으로 모의해킹을 수행하고, 운영 중인 홈페이지 취약점도 점검한다. 외부 연계 시스템과 외부 접점 자산에 대한 취약점 분석을 별도 진행하고, 그룹 침해 사고 발생 시 대응을 위한 기술 지원 체계도 고도화한다. 일부 계열사는 보안 인증 체계 획득을 위해 준비 중인 것으로 알려졌다.
KB금융그룹 관계자는 “KB금융은 외부 침해 위협 증가와 디지털 전환, 규제 환경 변화에 대응해 정보보호 중장기 마스터플랜을 수립·운영 중”이라며 “3년 단위 수립으로 지난 2023년 마스터플랜에 따라 국내 최고 수준 정보보호 관리체계를 마련해 지속 고도화하고 있으며, 기존 성과를 바탕으로 다음 단계의 수립과 이행을 통해 글로벌 최고 수준 정보 보호 역량을 갖춘 금융 그룹으로 발돋움하고자 한다”고 설명했다.
신한금융그룹도 내년 1월부터 신한금융그룹 공동으로 위협대응체계 구축에 나설 예정이다. 잠재적 위협 요소를 조기에 식별하고, 외부 노출 정보를 악용한 공격에 대응하기 위한 사전 제거 체계를 마련한다.
특히 17개 그룹사와 공통 인프라를 대상으로 외부 노출 정보자산을 관리한다. 공격 접점을 정기적으로 파악하고, 딥·다크웹 모니터링을 통해 정보유출 여부를 확인한다. 최근 공격 동향과 공격자 그룹 분석 결과를 반영해 위협지표도 주기적으로 업데이트할 예정이다. 이를 통해 최신 위협 정보를 그룹 전체에 제공하고, 실제 운영환경에 적용할 수 있는 대응 체계를 구축한다. 이달 사업자 선정을 마치고 내년 1월부터 프로젝트에 착수한다는 목표다.
금융권에서는 외부 접점 중심 공격이 급증한 점을 주목하고 있다. 기존 내부 중심의 방어 체계만으로는 대응이 어려운 고도화된 위협 요인들에 따라 외부 공개 자산, 외부 연계 시스템, 웹·앱 기반 접점에 대한 보안 점검을 강화하는 추세다.
금융지주 관계자는 “타 금융지주들 역시 연말과 연초를 기점으로 보안 점검 범위를 넓히고, 모의해킹·취약점 진단·정보노출 모니터링을 연동하는 구조를 구축할 전망”이라며 “특히 보안 민감도가 높아지는 만큼 신규 유형 외부 위협 증가에 맞춰 보안체계를 가다듬는 흐름이 가속할 것”이라고 말했다.
정다은 기자 dandan@etnews.com
