금융결제원이 자사 전산망 침투테스트를 진행한다. 보안 역량 점검 목적에서 외부 조직이 금결원 전상망으로 침투가 가능한지 모의해킹을 진행한다.
업계에 따르면 금융결제원은 '2024년도 외부 보안전문업체를 통한 모의해킹 업체선정'을 진행 중이다. 오는 16일까지 입찰 등록을 받는다. 해당 입찰에 참여하려면최근 5년 동안 10건 이상 모의해킹 침투테스트 사업 수행 경험이 있고, 금융 또는 공공 부문에서 5건 이상의 침투테스트 경험이 있어야 한다.
착수일로부터 90일 이내에 사업을 완료하는 조건이다. 모의해킹 팀 구성원 중에서는 해외 해킹대회에서 본선 진출 이상 혹은 국내 해킹대회에서 입상 경력이 있는 직원이 포함돼야 한다. 금결원이 제시한 목표과제를 달성하는 경우 최대 2000만원 규모 인센티브를 받을 수 있다.
모의해킹은 의뢰자로부터 허가를 받은 자가 보안 취약점 시험이나 취약점 진단의 목적으로 시스템에 침투해 해킹을 시도하는 작업을 말한다. 정보보안 수준을 객관적으로 진단하고 미비점을 개선하기 위한 목적이다.
이번 모의해킹은 금결원 공개용 서비스(웹서비스 85개, 모바일 앱 34개)를 대상으로 외부 공격자 관점의 블랙박스 방식 모의해킹이 동원된다.
통상 모의해킹에는 화이트박스 기반과 블랙박스 기반이 있는데, 화이트박스 기반은 의뢰자로부터 다양한 정보를 사전에 받아 공격자에게 많은 능력을 부여하는 모델이다.
반면 블랙박스 방식은 공격자가 입력과 출력 데이터만을 알 수 있고 연산이 일어나는 중간 정보를 알수 없는 블랙 해커와 동일한 관점과 조건으로 해킹을 수행한다. 금결원 모의해킹 역시 점검대상 목록(URL, 모바일 앱 명) 이외에 계정정보, 소스코드 등 별도 정보는 제공하지 않는 조건에서 진행한다.
최근 랜섬웨어, 디도스 공격 등 사이버위협이 양적으로 확대되고 질적으로 고도화되면서 금융업권 모의해킹 훈련이 주요하게 다뤄지고 있다. 올해 2월에는 금융감독원·금융보안원의 주도 하에 은행권 사상 처음으로 화이트해커의 공격을 방어하는 실전형 모의해킹 훈련을 진행했다.
지난해 비바리퍼블리카(토스)는 '헬소닉' 이종호 화이트해커(토스 보안기술팀 리더)가 지휘하는 모의해킹을 유튜브 영상으로 만들어 화제가 되기도 했다. 48시간 내 토스 시스템을 해킹하는 미션을 주제로 기획된 해당 영상은 이달 기준 조회 수 239만을 기록했다.
이형두 기자 dudu@etnews.com