금감원·금보원, 9월부터 2개월간 블라인드 모의해킹 훈련 실시
[SRT(에스알 타임스) 김남규 기자] 금융감독원(금감원)은 금융보안원(금보원)과 함께 9월 4일부터 10월 31일까지 전 금융권을 대상으로 ‘블라인드 모의해킹(공격·방어) 훈련’을 실시한다고 3일 밝혔다.
이번 훈련은 공격 일시와 대상을 사전에 알리지 않고 불시에 진행해 금융회사의 해킹 탐지·방어 체계를 점검하는 데 목적이 있다. 금감원은 해킹 공격 대상에 선정되지 않은 금융회사도 훈련 준비와 대응을 수행함으로써 자체 점검 효과를 얻을 것으로 기대했다.
금감원은 지난 2024년 상반기에는 은행 19곳 중 6곳을 대상으로 서버 해킹, 디도스 공격, 생성형 AI(LLM) 공격 등 훈련을 진행했고, 하반기에는 제2금융권과 생성형 인공지능(AI)을 대상으로 12개 금융회사를 불시에 점검했다. 일부 금융사에서 취약점이 발견되자 즉시 보완 조치도 이뤄졌다.
금감원은 올해 훈련에서는 범위를 전 금융권으로 확대하고, 1주일이던 훈련 기간을 2개월로 늘리는 등 훈련 집중도를 강화할 방침이다. 특히 외부 접속 인프라를 이용하는 금융회사에 대해서는 현장 방문 훈련을 실시해 취약점과 보안 업데이트 적정성을 면밀히 점검한다.
훈련은 금보원이 가상의 공격자가 되어 화이트 해커를 통한 서버 해킹과 디도스 공격을 시도하면, 금융회사는 이를 탐지·방어하고 디도스 공격 시 비상대응센터로 트래픽을 전환하는 등 업무 연속성을 유지하는 방식으로 진행된다.
금감원은 이번 훈련을 통해 금융회사의 외부 침입 대응 역량을 점검하고, 필요한 경우 주요 내용을 금융권에 전파해 대응 절차를 개선할 예정이다. 앞으로도 블라인드 모의해킹, 보안 취약점 신고포상제, 통합관제시스템 구축 등 다양한 수단을 운영·고도화하고, 정부·유관기관과 협력을 강화해 디지털 금융 환경에 맞는 보안 역량과 IT 안전성을 강화할 계획이다.