SBS Biz

금융권의 사이버 위협 대응역량을 강화하기 위한 '블라인드 모의해킹'이 연 2회로 확대 실시됩니다.



금융감독원과 금융보안원은 오는 5월~6월 중 2026년 상반기 '금융권 블라인드 모의해킹 훈련'을 실시한다고 오늘(29일) 밝혔습니다.

블라인드 모의해킹은 공격 일시와 대상을 사전에 공개하지 않고 화이트해커의 불시 공격을 통해 금융회사의 해킹 탐지, 방어 능력과 비상 대응 체계를 점검하는 방식으로 진행합니다.

특히 올해는 최근 고도화되는 사이버 위협과 금융권의 침해사고 양상을 반영해 훈련 횟수를 종전 연 1회에서, 연 2회로 늘리고 훈련 대상과 기간, 공격 유형을 확대하는 등 보다 강도 높게 실시할 예정입니다.

이번 훈련부터는 AI 모델의 신뢰성과 안전성을 확보하기 위해 해커 관점의 공격을 통해 취약점을 발굴하고 대응 적정성을 점검하는 모의해킹 기법인 'AI 레드티밍'이 최초로 도입됩니다.



금융회사들이 고객에게 생성형 AI 서비스를 제공하는 과정에 발생할 수 있는 정보 유출 가능성, 비정상 응답 유도 등 새로운 유형의 보안 위협에 대해 대응 역량을 갖추고 있는지 확인하는 한편, 불시 DDoS 공격, 서버해킹, 모의 침투 훈련 등을 통해 금융회사의 역량과 내부 대응 절차의 적정성 등을 중점 점검합니다.

또 현장 방문 훈련의 대상과 기간을 대폭 확대해 최근 발생한 침해사고의 주된 원인으로 지목되는 외부 접속 인프라, 네트워크 취약점, 보안 업데이트 적정성 등을 면밀히 살펴볼 계획입니다.

이종오 디지털·IT 부원장보는 "이번 훈련은 지난 7일 발표한 '사전예방적 디지털 리스크 감독방안'의 하나로 추진한다"며 "대고객 AI 서비스를 겨냥한 신종 보안 위협까지 훈련 범위에 포함해 실효성 있게 실시하는 만큼 금융회사의 사이버 위협 대응 역량을 강화하고 침해 사고를 예방하는 데 도움이 될 것으로 기대한다"고 밝혔습니다.

금감원은 모의해킹에 참가한 금융회사들이 훈련을 통해 드러난 취약점을 즉시 보완하도록 조치하는 한편, 공통된 주요 취약점과 개선 필요사항은 다른 금융회사들이 참고할 수 있도록 전파해 금융권 전반의 보안 역량을 강화할 계획입니다.