금감원·금보원, 5월부터 두 달간 전 금융권 대상 1차 블라인드 훈련 돌입
망분리 예외 특례 받은 대고객 생성형 AI 서비스 대상 공격 신설

[보안뉴스 조재호 기자] ‘클로드 미토스’(Claude Mythos) 충격과 함께 급증하는 신종 사이버 위협에 대응하기 위해 전 금융권 대상으로 한 단계 강도를 높인 모의해킹 훈련이 시작된다. 기존 방어 훈련에 더해 망분리 예외 특례를 받은 AI 서비스의 취약점을 겨냥한 집중 점검이 상하반기에 걸쳐 두 차례 진행된다.


16일 금융권에 따르면, 금융감독원과 금융보안원이 ‘2026년도 금융권 블라인드 모의해킹 훈련’을 실시한다.

올해 훈련은 기존 연 1회에서 상반기와 하반기 총 2회로 확대 편성됐다. 1차 상반기 훈련은 5-6월 약 두 달간 은행과 금융투자, 보험, 전자금융업 등 전 권역을 대상으로 불시에 진행된다. 2차 하반기 훈련 일정은 8월 중 별도 안내 예정이다.

혁신금융서비스로 지정된 대고객 생성형 AI 서비스를 겨냥한 ‘AI 레드티밍’(AI Red Teaming) 공격 도입이 눈에 띈다. 규제 샌드박스를 통해 망분리 예외 특례를 받아 시작된 AI 서비스의 취약성을 확인하기 위한 모의침투 훈련이다.

디도스 대응과 서버 해킹 탐지, 화이트해커를 동원한 웹 취약점 발굴, 외부 접속 인프라에 대한 현장 점검도 진행된다. 일부 회사는 2가지 이상의 훈련 방법을 병행할 계획이다.

훈련 횟수와 강도가 증가하면서 금융업계 내부에선 우려하는 목소리도 나온다. 인력 충원이나 투자 확대 없이 정부 주도 점검만 강제하는 방식은 한계가 있다는 지적이다.

보안 업계 관계자는 “AI 보안 업무를 담당할 전문 인력 채용이 원활하지 않은 상황에서 잦은 모의 훈련에 인력을 투입하다 보면, 오히려 평상시 방어 체계 구축과 운영의 집중도가 떨어질 수 있다”고 말했다.

또 다른 전문가는 “지난해 통신사와 금융권 보안 사고 발생과 미토스와 같은 초고성능 AI 해킹 위협이 가시화되는 상황에서 방어막 검증 조치 자체는 필수적”이라며 “급변하는 외부 환경과 위협에 따라 국가 기반 시설에 준하는 금융권 보안 강화는 피할 수 없는 과제”라고 말했다.

훈련 강화의 당위성에는 이견이 없지만, 실효성을 높이기 위해 방식의 전환이 필요하다는 목소리도 커지고 있다. 정부가 주도하는 일방적이고 규제 중심적인 강제 점검에서 벗어나, 기업 스스로 훈련 규모와 빈도를 높일 수 있도록 유도해야 한다는 지적이다. 민간 자체 방어 체계 고도화에 대한 인센티브 제도화 등이 대안으로 꼽힌다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>