금감원, 금융권 모의해킹 연 2회 확대…'AI 레드티밍' 첫 도입

금융감독원이 금융권 사이버 위협 대응력을 높이기 위해 모의해킹 훈련을 연 2회로 확대하고, 생성형 인공지능(AI) 보안성을 점검하는 'AI 레드티밍(AI Red Teaming)'을 처음 도입한다.

금감원은 금융보안원과 함께 오는 5월부터 6월까지 '2026년 상반기 금융권 블라인드 모의해킹 훈련'을 실시한다.

블라인드 모의해킹은 공격 일시와 대상을 정하지 않고 화이트해커가 불시에 공격해 금융회사의 탐지·방어 능력과 비상 대응 체계를 점검하는 방식이다.

올해부터는 고도화되는 사이버 위협과 침해사고 양상을 반영해 훈련 강도를 대폭 높인다. 기존 연 1회 실시하던 훈련을 상·하반기 각 1회씩 총 2회로 늘렸다. 훈련 대상과 기간, 공격 유형도 예년보다 확대했다.

특히 생성형 AI 서비스 이용 시 발생할 수 있는 보안 위협을 점검하기 위해 'AI 레드티밍' 기법을 최초로 적용한다. 해커 관점에서 공격을 수행해 정보 유출 가능성이나 비정상 응답 유도 등 취약점을 발굴하고 대응 적정성을 확인한다.

이와 함께 불시 분산서비스거부(DDoS) 공격과 서버 해킹, 모의 침투 훈련을 통해 금융회사의 차단 역량과 내부 대응 절차를 중점 점검한다. 현장 방문 훈련 대상과 기간도 늘려 외부 접속 인프라, 네트워크 취약점, 보안 업데이트 적정성 등을 자세히 살필 계획이다.

이번 훈련은 지난 4월 7일 발표한 '사전예방적 디지털 리스크 감독방안'의 후속 조치다. 금감원은 훈련 과정에서 드러난 취약점을 금융회사가 즉시 보완하도록 조치하고, 공통 취약점과 개선 사항은 금융권 전반에 공유해 보안 역량을 강화할 방침이다.

이종오 금감원 디지털·IT 부원장보는 “침해사고를 유발하는 주요 취약점은 물론 대고객 AI 서비스를 겨냥한 신종 보안 위협까지 훈련 범위에 포함했다”며 “금융회사의 사이버 위협 대응 역량을 강화하고 침해 사고를 예방하는 계기가 될 것”이라고 말했다.

류태웅 기자 bigheroryu@etnews.com