AI 레드티밍 첫 도입…탐지·방어·대응 역량 점검
미토스 등 인공지능(AI) 기반 해킹 위협이 커지는 가운데 금융당국이 올해 금융권을 대상으로 한 블라인드 모의해킹 훈련을 연 2회로 확대 실시한다.
금융감독원은 금융보안원과 함께 5~6월 상반기 금융권 블라인드 모의해킹 훈련을 실시한다고 30일 밝혔다.
블라인드 모의해킹은 금융권의 사이버 위협에 대한 사전 예방 대응 역량을 강화하기 위한 훈련이다. 공격 일시와 대상을 사전에 공개하지 않고 화이트 해커의 불시 공격을 통해 금융회사의 해킹 탐지·방어 능력과 비상 대응 체계를 점검하는 방식으로 진행한다.
금감원은 최근 고도화되는 사이버 위협과 금융권의 침해 사고 양상을 반영해 훈련 횟수를 기존 연 1회에서 연 2회로 늘리기로 했다. 훈련 대상·기간·공격 유형을 확대해 강도를 보다 높일 계획이다. 2차 훈련은 하반기에 실시된다.
특히 이번 훈련에는 해커 관점의 공격을 통해 취약점을 발굴하는 'AI 레드티밍'을 처음 도입해 금융회사의 생성형 AI 서비스 제공 과정에서 발생할 수 있는 정보 유출 가능성, 비정상 응답 유도 등 신종 보안 위협 대응 역량을 점검한다.
또한 불시 디도스(DDoS) 공격, 서버 해킹, 모의 침투 훈련 등을 통해 해킹 탐지·차단 역량과 내부 대응 절차의 적정성 및 신속성을 중점 점검한다. 외부 접속 인프라, 네트워크 취약점, 보안 업데이트 적정성도 면밀히 살필 계획이다.
금감원은 점검 결과 드러난 취약점은 즉시 보완하도록 조치할 예정이다. 공통 취약점도 다른 금융회사에 공유해 금융권의 전반적인 보안 역량을 강화할 방침이다.
특히 앤트로픽이 공개한 AI 모델 미토스와 같은 고성능 AI 모델의 악용 가능성 등 신규 AI 기반 사이버 위협도 지속 모니터링해 향후 훈련에 반영할 계획이다.
이종오 금감원 디지털·IT 부원장보는 "이번 훈련은 횟수와 기간, 대상을 대폭 확대하고 침해 사고를 유발하는 주요 취약점은 대고객 AI 서비스까지 범위를 넓혀 실효성을 높였다"며 "금융회사의 사이버 위협 대응 역량 강화와 침해 사고 예방에 기여할 것"이라고 밝혔다.
권해영 기자 roguehy@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>