생성형 AI·사이버 공격 고도화…"금융사 사고대응 역량 길러야"

(서울=뉴스1) 전준우 기자 = 생성형 AI 활용 확대와 사이버 공격 고도화 등으로 전산장애와 침해사고가 지속 발생하자, 금융당국이 금융사의 사고대응 역량과 IT 내부통제 강화에 나섰다.

금융감독원은 29일 전자금융업무를 수행하는 은행, 보험, 금융투자업 등 491개 금융회사 등을 대상으로 '금융IT 리스크 대응회의'를 열고 금융권의 전산시스템 안전성과 서비스 연속성 제고를 위한 대응방안을 논의했다.

금감원이 IT 기본통제 이행실태에 대한 상반기 현장점검 및 상시감시를 실시한 결과, 프로그램 변경관리와 성능관리 등 기본적인 IT 통제가 미흡한 사례를 확인했다.

전자금융사고를 예방하기 위해서는 운영체제나 전산장비의 취약점 발생 시 신속 보정작업을 실시하고 중요 전산자료의 오·남용 예방을 위한 접근 권한 관리 강화가 필요하다.

또 전산장비 등에 대한 침해 시도 행위를 실시간 탐지하고, 백업·소산 데이터의 무결성 및 가용성 확보여부를 주기적으로 점검해야 한다.

프로그램 변경 시 사전 영향도 분석 등 단계별 통제를 강화하고, 테스트 전용 인프라에서 다양한 시나리오별 검증도 필요하다.

전산센터 등의 화재예방을 위해 무정전전원장치(UPS), 비상발전기, 화재예방 설비 관리현황을 주기적으로 점검하는 것도 중요하다. 화재 위험성이 높은 노후 축전지는 즉시 교체하고 화재발생에 대비한 비상대응체계 적정성을 점검해야 한다.

무선통신망을 악용해 금융사 내부시스템에 침투하는 공격 대응 필요성도 커졌다. 초소형 무선 스파이칩이 금융회사의 서버·IT장비에 무단 삽입·은닉돼 무선 주파수(RF) 통신을 통한 내부시스템 침투 및 데이터 탈취, 서비스 중단 등을 유발하는 보안 위협이다.

금융당국은 이를 예방하기 위해 전산장비 도입·반입 시 무선백도어 설치 여부 확인 등 통제를 강화해야 한다고 주문했다. 또 비인가 무선통신망(무선백도어) 운영 여부를 주기적 점검하고 서버, 정보처리시스템, 단말기 등에 대한 이상징후 모니터링을 강화해야 한다.

금감원은 하반기 IT기본통제 이행실태를 중점점검하고, 전산센터 화재 예방을 위한 전원설비 운영실태 점검도 병행할 계획이다.

지난 4월 전자금융감독규정시행세칙 개정에 따라 예외적으로 허용된 클라우드 기반 사무관리·업무지원용 소프트웨어(SaaS) 관련 정보보호 의무 준수실태에 대해서도 살펴볼 예정이다.

금감원은 "금융회사 자율점검이 다수 예정된 만큼, CEO 등 경영진의 관심과 책임하에 리스크를 점검하고 발견된 문제점을 신속히 개선하는 전사적 자율시정 체계를 갖춰달라"고 당부했다.

junoo5683@news1.kr