금감원, 금융권 블라인드 모의해킹 연 2회로 확대…대고객 AI 서비스 첫 점검

상·하반기 2차례 실시…훈련 대상·기간·공격 유형 전면 확대

생성형 AI 대상 ‘레드티밍’ 첫 도입…정보유출·비정상 응답 유도 점검

DDoS·서버 해킹·현장 침투 병행…외부접속 인프라 취약점 집중 점검

금융감독원이 금융권의 사이버 위협 대응 역량 강화를 위해 올해부터 블라인드 모의해킹 훈련을 연 2회로 확대 실시한다.ⓒ연합뉴스

금융감독원이 금융권의 사이버 위협 대응 역량 강화를 위해 올해부터 블라인드 모의해킹 훈련을 연 2회로 확대 실시한다. 대고객 생성형 인공지능(AI) 서비스에 대한 ‘AI 레드티밍’도 처음 도입한다.

금감원은 금융보안원과 함께 오는 5∼6월 중 2026년 상반기 ‘금융권 블라인드 모의해킹 훈련’을 실시한다고 30일 밝혔다.

블라인드 모의해킹은 공격 일시와 대상을 사전에 알리지 않은 채 화이트해커가 불시 공격을 수행해 금융회사의 해킹 탐지·방어 능력과 비상 대응 체계를 점검하는 방식이다.

금감원은 최근 고도화되는 사이버 위협과 금융권 침해사고 양상을 반영해 올해부터 훈련 횟수를 기존 연 1회에서 연 2회(상·하반기)로 늘리고, 훈련 대상과 기간, 공격 유형도 확대하기로 했다.

특히 이번 훈련에는 ‘AI 레드티밍’이 처음 도입된다. 금감원은 금융회사가 고객에게 생성형 AI 서비스를 제공하는 과정에서 발생할 수 있는 정보 유출 가능성이나 비정상 응답 유도 등 새로운 유형의 보안 위협에 대한 대응 역량을 점검할 계획이다.

이와 함께 불시 분산서비스거부(DDoS) 공격, 서버 해킹, 모의 침투 훈련 등을 통해 금융회사의 해킹 탐지·차단 역량과 내부 대응 절차의 적정성·신속성을 중점 점검한다.

현장 방문 훈련의 대상과 기간도 확대해 외부 접속 인프라, 네트워크 취약점, 보안 업데이트 적정성 등 최근 침해사고 주요 원인으로 지목된 취약 요소를 집중적으로 살필 방침이다.

금감원은 훈련 과정에서 드러난 취약점에 대해 참가 금융회사들이 즉시 보완하도록 하고, 공통된 주요 취약점과 개선 필요사항은 업계 전반에 공유해 금융권 전체의 보안 역량을 끌어올릴 계획이다.

아울러 고성능 AI 모델의 악용 가능성 등 최근 부각되는 AI 기반 신규 사이버 위협도 지속적으로 모니터링해 향후 훈련에 반영할 예정이다.