금융감독원은 금융보안원과 함께 오는 9월 4일부터 10월 31일까지 전 금융권을 대상으로 화이트해커가 참여하는 ‘블라인드 모의해킹(공격·방어) 훈련’을 실시한다고 3일 밝혔다.

이번 훈련은 공격 시기와 대상을 사전에 알리지 않고 불시에 진행해 금융회사의 해킹 탐지 및 방어 체계를 실전처럼 점검하는 방식으로 이뤄진다.

훈련에서는 금융보안원이 가상의 공격자로 서버 해킹(침투)과 분산서비스거부(DDoS) 공격을 시도하며, 금융회사는 이를 탐지·방어하고, 디도스 공격의 경우 비상대응센터로 트래픽을 전환해 업무 연속성을 유지하는 등의 대응 적정성을 확인한다.

올해는 최근 금융권과 외부에서 해킹 등 침해사고가 빈번하게 발생한 점을 감안해 훈련 대상이 전 권역으로 확대됐다. 작년 은행, 증권, 보험, 카드사를 대상으로 진행했던 훈련에서 올해는 캐피탈, 저축은행, 상호금융, 전자금융까지 범위를 넓혀 더 많은 금융회사가 참여한다.

훈련 기간도 기존 1주일에서 2개월로 대폭 늘렸으며, 훈련 집중도를 높이기 위해 공격 횟수를 늘리고, 회당 훈련 대상 금융회사 수는 줄였다.

특히 최근 침해사고가 잦은 외부 접속 인프라(특정 VPN, 모바일디바이스관리(MDM) 시스템 등)를 활용하는 금융회사에 대해서는 현장 방문 훈련도 실시한다. 현장 점검에서는 취약 네트워크 포트 허용 여부, 외부 접속 인프라 관리자 설정, 보안 업데이트 적정성 등을 면밀히 점검할 예정이다.

금감원은 이번 훈련 결과를 금융권에 공유해 대응 절차를 개선하고, 보안취약점 신고포상제(6~8월), 통합관제시스템(FIRST) 구축·운영(12월 예정)과 연계해 금융회사 보안 역량을 지속 강화할 계획이다.

금감원 관계자는 “정부·유관기관과 협력을 강화하며, 변화하는 디지털 금융 환경에 맞춰 금융회사 보안 역량과 IT 안전성 강화 감독 대책을 차질 없이 마련해 나가겠다”라고 밝혔다.