금융감독원이 금융권 사이버 위협 대응 역량 강화를 위해 ‘블라인드 모의해킹’ 훈련을 연 2회로 늘린다.
금감원은 30일 금융보안원과 함께 올해 금융권 블라인드 모의해킹 훈련을 기존 연 1회에서 상·하반기 연 2회로 확대 실시한다고 밝혔다.
블라인드 모의해킹은 공격 시점과 대상을 사전에 공개하지 않은 채 화이트해커가 실제 해킹을 시도하는 방식으로, 금융회사의 탐지·차단 능력과 비상 대응 체계를 점검하는 사전예방형 보안 훈련이다.
올해는 훈련 대상과 기간, 공격 유형을 대폭 확대하기로 했다. 불시 DDoS 공격, 서버 해킹, 모의 침투 훈련은 물론 외부 접속 인프라와 네트워크 취약점, 보안 업데이트 적정성 등 현장 점검 범위도 강화된다.
특히 금융회사의 생성형 AI 서비스 보안성을 검증하는 ‘AI 레드티밍’을 처음 도입해 정보 유출, 비정상 응답 유도 등 신종 사이버 위협 대응 수준도 점검한다.
이번 조치는 금감원이 이달 7일 발표한 ‘사전예방적 디지털 리스크 감독방안’의 일환이다. 금감원은 훈련 과정에서 드러난 취약점을 즉시 보완하도록 하고, 주요 공통 취약점은 금융권 전체에 공유해 업권 전반의 보안 수준을 끌어올릴 방침이다.
이종오 금감원 디지털·IT 부원장보는 “횟수·기간·대상을 대폭 확대했을 뿐만 아니라 침해사고를 유발하는 주요 취약점은 물론 대고객 AI 서비스를 겨냥한 신종 보안 위협까지 훈련 범위에 포함해 실효성 있게 실시하겠다”고 말했다.
금감원은 모의해킹 과정에서 확인된 취약점을 참가 금융회사들이 즉시 보완하도록 하고, 공통된 주요 취약점과 개선 사항은 금융권 전반에 공유해 업권 전체의 보안 역량을 강화할 계획이다. 또 고성능 AI 모델 악용 가능성 등 AI 기반 신규 사이버 위협도 지속해서 모니터링해 향후 훈련 체계에 반영할 예정이다.