"역대 최대 규모" … 금융당국, '모의해킹' 훈련 실시

금융감독원과 금융보안원은 오는 9월 4일부터 10월 31일까지 전 금융권을 대상으로 '블라인드 모의해킹 훈련'을 실시한다고 밝혔다. 최근 금융권을 대상으로 한 해킹 등 침해사고가 잇따르는 상황을 고려해, 금융회사의 사이버 위협 대비 태세를 강화하기 위한 고강도 훈련이 될 전망이다.

블라인드 모의해킹은 공격일시나 대상을 사전에 공지하지 않고 불시에 공격을 감행해 금융회사의 실질적인 해킹 탐지 및 방어 체계를 점검하는 방식이다. 이번 훈련은 금융보안원이 가상의 공격자 역할을 맡아, 소속 화이트해커 조직인 'RED IRIS팀'을 투입해 서버 해킹과 디도스(DDoS) 공격을 시도하게 된다.

금융회사는 이러한 가상 공격을 탐지하고 방어하는 한편, 디도스 공격 발생 시에는 비상대응센터로 트래픽을 전환해 업무 연속성을 확보하는 등 대응의 적정성을 종합적으로 평가받는다. 특히 해킹 공격 대상에 선정되지 않은 금융사들도 훈련 기간 중 자체적으로 대비 및 경계 태세를 유지하며 침해사고 대응 체계를 점검하는 효과를 거둘 수 있다.

올해 훈련은 역대 최대 규모와 강도로 진행된다. 훈련 대상을 기존 은행, 증권, 보험, 카드사 등에서 캐피탈, 저축은행, 상호금융, 전자금융업자까지 포함한 전 금융권으로 확대했다. 훈련 기간 역시 기존 1주일에서 2개월로 대폭 늘렸으며, 공격 훈련 횟수를 늘리고 회당 점검 대상 금융회사 수를 줄여 훈련의 집중도를 높였다.

특히 최근 침해사고가 자주 발생한 특정 가상사설망(VPN), 모바일기기관리(MDM) 등 외부 접속 인프라를 사용하는 금융사에 대해서는 현장 방문 훈련을 병행한다. 현장에서는 외부를 향해 취약한 네트워크 포트가 열려있는지, 외부 접속 인프라의 관리자 설정과 보안 업데이트가 적절한지 등을 면밀히 점검할 계획이다.

금감원과 금보원은 지난해에도 두 차례에 걸쳐 블라인드 모의해킹 훈련을 실시한 바 있다. 상반기에는 19개 전체 은행을 대상으로 6개사에 실제 공격을 진행했고, 하반기에는 제2금융권 및 생성형 AI(LLM)을 이용하는 83개 기관 중 12곳을 불시에 점검했다. 당시 훈련을 통해 일부 금융사에서 취약점이 발견돼 즉각적인 보완 조치가 이뤄졌다.

금감원 관계자는 "이번 훈련을 통해 외부 침입에 대한 금융사의 탐지·방어 역량을 점검하고, 주요 점검 결과를 금융권 전반에 공유해 대응 절차를 개선해 나갈 것"이라고 밝혔다.

금감원은 앞으로도 보안취약점 신고포상제(6~8월), 통합관제시스템(FIRST) 구축(12월) 등 다양한 수단을 통해 금융회사의 사이버 위협 대응 태세를 지속적으로 점검하고 고도화할 방침이다. 

또한, 정부 및 유관기관과의 협력을 강화하고 변화하는 디지털 금융 환경에 맞춰 보안 역량과 IT 안전성 강화를 위한 감독 대책을 꾸준히 마련해 나가겠다고 덧붙였다.