5~6월 중 일시·대상 공개 않고 불시공격
 |
| [연합] |
[헤럴드경제=김은희 기자] 금융감독원은 5~6월 중 금융보안원과 함께 상반기 금융권 블라인드 모의해킹 훈련을 실시한다고 30일 밝혔다.
블라인드 모의해킹은 금융권의 사이버 위협에 대한 사전예방적 대응역량을 강화하기 위해 실시하는 훈련이다. 공격일시와 대상을 사전에 공개하지 않고 화이트해커의 불시공격을 통해 금융회사의 해킹탐지·방어 능력과 비상 대응 체계를 점검한다.
올해에는 훈련횟수를 종전 연 1회에서 연 2회(상·하반기)로 늘리고 훈련 대상과 기간, 공격유형도 확대해 실시할 예정이다.
특히 인공지능(AI) 레드티밍을 최초로 도입한다. 이를 통해 금융사가 고객에게 생성형AI 서비스를 제공하는 과정에 발생할 수 있는 정보 유출 가능성, 비정상 응답 유도 등 새로운 유형의 보안위협에 대해 대응역량을 갖추고 있는지 확인할 방침이다. AI 레드티밍은 해커 관점의 공격을 통해 취약점을 발굴하고 대응 적정성을 점검하는 모의해킹 기법을 말한다.
금감원은 또한 불시 디도스(DDoS·분산서비스거부) 공격, 서버해킹, 모의 침투 훈련 등을 통해 금융사의 해킹탐지·차단 역량과 내부 대응 절차의 적정성·신속성 등을 중점 점검한다. 현장 방문 훈련의 대상·기간을 대폭 확대해 최근 발생한 침해사고의 주원인으로 지목되는 외부 접속 인프라, 네트워크 취약점, 보안 업데이트 적정성 등을 면밀히 살필 계획이다.
이종오 금감원 디지털·IT 부원장보는 “횟수·기간·대상을 대폭 확대했을 뿐 아니라 침해사고를 유발하는 주요 취약점은 물론 대고객 AI서비스를 겨냥한 신종 보안 위협까지 훈련 범위에 포함했다”며 실효성 있게 실시하겠다고 강조했다.
금감원은 모의해킹에 참가한 금융사가 훈련을 통해 드러난 취약점을 즉시 보완하도록 조치하고 공통된 주요 취약점과 개선 필요사항은 다른 금융사가 참고할 수 있도록 전파할 계획이다.
