금융보안원은 18일 금융권의 자율 보안 체계 강화와 침해 대응 능력 제고를 위해 ‘2026년도 금융권 침해사고 대응훈련’을 실시한다고 전했다. 이번 훈련은 전자금융감독규정에 따라 연 1회 이상 진행되며, 3월부터 11월까지 금융회사와 사전 협의를 통해 시행된다.

훈련은 디도스 공격, 사이버대피소 전환, 서버 해킹, 악성메일 공격 등 4가지 유형으로 구성된다. 특히 디도스 대응 훈련에서는 HTTP/2 웹서비스 취약점을 악용한 최신 공격 기법이 적용되며, 서버 해킹 대응 훈련에는 원격코드 실행 취약점과 React2Shell 등 고위험 시나리오가 반영된다.

악성메일 대응 훈련에서는 임직원의 대응 역량 강화를 위해 AI 테마 기반의 피싱메일과 가짜 사이트를 활용한 시나리오가 새롭게 도입된다. 또한 금융감독원과 공동으로 사전 예고 없이 진행되는 블라인드 모의훈련도 병행될 예정이다.

이번 훈련은 금융보안원이 최근 발표한 망분리 취약점 분석 결과와도 연계된다. 금융보안원 내 화이트해커 조직인 RED IRIS는 공격자 관점에서 망분리 환경을 분석한 결과, 내부 데이터 유출, 업무망 침투, 클라우드를 통한 정보 유출 등 3가지 주요 침투 시나리오를 제시했다.

보고서에 따르면 공격자는 접근제어 시스템의 관리 취약점을 활용해 내부 서버를 장악한 뒤 데이터를 외부로 유출하거나, 외부 공개 시스템을 거점으로 업무망 내부로 침투하는 방식으로 망분리를 우회할 수 있다. 또한 클라우드 인증정보 탈취를 통해 내부망과 외부 인프라를 연결하는 공격도 가능한 것으로 분석됐다.

금융보안원은 이러한 분석을 바탕으로 단순한 망분리 체계만으로는 보안을 담보하기 어렵다고 보고, 실전형 모의해킹과 지속적인 취약점 점검을 통한 선제적 대응이 필요하다고 강조했다. 아울러 금융보안원은 2025년 도입한 ‘침해대응 훈련플랫폼’을 통해 서버 해킹과 악성메일 훈련 절차를 자동화한 결과, 참여 기관과 훈련 횟수가 크게 증가했다고 설명했다.

참여 기관은 200개에서 205개로 확대됐으며, 훈련 횟수는 632회에서 869회로 늘었다. 금융보안원은 올해 디도스 대응 훈련까지 자동화를 완료하고, 2027년부터는 모든 훈련 유형을 통합한 플랫폼 서비스를 제공할 계획이다.

박상원 금융보안원 원장은 “최근 금융기관을 대상으로 한 사이버 공격이 점점 정교해지고 있다”며 “실전과 유사한 공격 기법과 맞춤형 시나리오를 지속적으로 제공하겠다”고 말했다.