최근 금융권 보안의 지형도가 조금씩 바뀌고 있습니다. 과거에는 연 1회 진행되던 블라인드 모의해킹 훈련이 올해부터 상·하반기로 나뉘어 연 2회로 확대实施된 것입니다. 이는 단순히 숫자가 늘어난 것을 넘어, 빠르게 고도화되는 사이버 위협에 선제적으로 대응하기 위한 금융당국의 강력한 의지로 해석됩니다. 특히 이번 훈련의 가장 큰 특징은 ‘예측 불가능성’에 있습니다. 공격 시점과 대상을 미리 알리지 않은 채 화이트해커가 실제 해킹을 시도하는 방식인 블라인드 모의해킹은 금융회사의 탐지 능력과 비상 대응 체계를 가장 생생하게 가늠해 볼 수 있는 지표가 됩니다.
올해 훈련이 주목받는 또 다른 이유는 AI 기술의 본격적인 도입 때문입니다. 금융사들이 생성형 AI 서비스를 제공하면서 발생할 수 있는 정보 유출이나 비정상적인 응답 유도 같은 신종 위협에 대비하기 위해 ‘AI 레드티밍’ 기법이 처음으로 적용되었습니다. 이는 해커의 관점에서 AI 모델을 공격해 취약점을 찾아내는 방식으로, 기존에는 주로 서버 해킹이나 분산서비스거부 공격에 집중했다면 이제는 인공지능 기반의 디지털 리스크까지 포괄적으로 점검하겠다는 의미입니다. 불시 DDoS 공격부터 외부 접속 인프라의 네트워크 취약점, 보안 업데이트 적정성까지 현장 점검 범위가 대폭 넓어진 점도 눈에 띕니다.
이러한 변화는 금융감독원이 발표한 ‘사전예방적 디지털 리스크 감독방안’의 핵심 실행 단계로 볼 수 있습니다. 훈련 과정에서 드러난 취약점은 참가 금융회사들이 즉시 보완하도록 하고, 업권 전체에 공통된 주요 취약점과 개선 사항을 공유함으로써 전체적인 보안 수준을 끌어올리는 것이 목표입니다. 디지털·IT 부원장보는 이번 훈련이 침해사고를 유발하는 주요 취약점뿐만 아니라 대고객 AI 서비스를 겨냥한 신종 보안 위협까지 포함해 실효성을 높였다고 강조했습니다.
앞으로 금융권은 고성능 AI 모델의 악용 가능성 등 새로운 형태의 사이버 위협을 지속적으로 모니터링하며 훈련 체계를 발전시켜 나갈 예정입니다. 고객들의 금융 데이터가 AI 시대에 얼마나 안전하게 보호될 수 있을지, 그리고 금융사들이 예상치 못한 공격에 얼마나 민첩하게 반응할 수 있을지에 대한 관심이 높아지는 시점입니다. 연 2회로 확대된 모의해킹 훈련은 단순한 점검을 넘어, 금융 시스템의 회복 탄력성을 확인하는 중요한 이정표가 될 것입니다.
작성자 소개
