![[그래픽=황민우 기자]](https://images-cdn.newspic.kr/detail_image/609/2026/6/23/465952ae-d285-4a1b-99d4-1692071bcf70.jpg?area=BODY&requestKey=w3Hru72p)
당국이 철옹성 같던 망분리 규제를 10여년 만에 완화한다. 최근 ‘미토스’ 사태로 당국이 인공지능(AI) 보안 위협에 대응하기 위해 망분리 해제를 허용하기로 하면서다.
은행권은 그간 망분리 규제 완화를 요구해왔다. 망분리는 외부 인터넷과 연결을 차단해 보안 효과가 크지만 클라우드 기반 소프트웨어와 AI를 활용하는데 어려움이 있어서다.
다만 규제 완화가 이뤄지면 보안 취약점이 외부에 노출될 가능성이 높아진다는 게 문제다. 폐쇄망으로 내부 정보를 보호했던 기능이 망분리 해제 시에는 사라질 수 있기 때문이다.
당국, 망분리 규제 완화 나선 배경
당국이 망분리 규제를 완화하게 된 배경에는 ‘미토스 사태’가 있다. 미국 엔트로픽 회사 AI모델 ‘미토스 AI’가 소프트웨어 취약점을 탐지하고 공격 자동화까지 가능한 수준에 이르자 미국 정부는 지난 12일 ‘미토스 AI’ 수출을 제한했다.
해당 모델은 탈옥(Jailbreak‧권리자 권한 무단 획득)을 통해 보안 장치를 무력화하거나 성능을 악용할 위험성이 높은 것으로 나타났다. 또한 시스템 보안 취약점을 손쉽게 찾아내고 스스로 해킹 공격을 기획‧실행할 수 있는 능력까지 갖춘 것으로 알려졌다.
이에 당국은 지난 4월부터 고성능 AI 보안위협에 대응하기 위해 금융업권 및 보안전문가와 6차례 걸쳐 소통하며 대응 방안을 논의했다. 이 과정에서 망분리 규제가 고성능 AI 등을 활용한 ‘AI 기반 보안 시스템’ 마련을 제한한다는 사실이 드러났다.
기존 망분리 규제가 보안 강화에 유리하지만 당국은 AX(인공지능 전환) 시기에 AI 기술을 내재화 시키기 위해서는 규제 개선이 필요하다고 판단했다. 당국은 현재 고성능 AI 취약점을 확인하고 보안 서비스형 소프트웨어(SaaS) 솔루션을 통한 방어시스템을 구축하고 있다.
은행권, 생성형 AI도입 위한 완화 요구
은행권은 망분리 규제 완화를 요구해왔다. 망분리 규제가 AI 클라우드 기반 서비스 확산을 제약하고 있어서다. 망분리는 외부 인터넷과 연결을 차단해왔기에 클라우드 기반인 생성형 AI 서비스에 접속할 수 없고 실시간 데이터 학습이나 오픈소스 생태계 활용도 불가능해 은행권 AI 도입에 제약이 많았다.
규제가 완화되면 은행권은 고객 상담부터 여신 심사까지 업무 전반에 AI를 업무 전반에 활용해 효율성을 제고할 수 있다. AX에 속도가 붙으면 디지털 혁신이 가속화하고 글로벌 경쟁력을 확보할 수 있다. 은행이 규제 완화를 기대하는 이유다.
당국은 총 3차례에 걸쳐 적격 금융사를 대상으로 규제 완화를 확대할 방침이다. 은행권에서는 이번 규제 완화로 AX에 속도가 붙을 것으로 기대하고 있다. 신한‧하나‧우리은행과 카카오뱅크가 1차 규제 완화 대상으로 선정돼 본격 테스트에 돌입할 예정이다.
전문가 “민감한 정보는 폐쇄망에 남아야”
은행권이 디지털 전환 시기에 뒤처지지 않고 경쟁력을 갖추려면 규제 완화가 필요한 측면은 있다. 다만 이 규제 완화가 내부망에서 사용하던 정보를 외부에 노출할 수 있는 위험이 있어 보안 취약점을 드러낼 우려도 있다.
지난 2013년 금융권에서 대규모 전산사고 이후 보안 강화를 위해 도입한 망분리 규제를 AI 보안 위협에 대응하기 위해 완화하는 것이 모순이라는 지적도 있다. 물론 AI 전환 시기에 망분리 규제 완화가 은행권 서비스 혁신을 견인할수 있다. 다만 민감한 정보를 다루는 은행권이기에 보안 문제는 예민할 수밖에 없다.
전문가는 AI 대응이 필요하더라도 중요한 핵심 정보는 폐쇄망을 사용해야 한다고 설명한다. 배재대학교 IT경영정보학과 여현진 교수는 더리브스와 통화에서 “아무리 뛰어난 AI 방어 체계를 갖춰도 더 성능 좋은 AI가 나와서 뚫을 수 있다”며 “예금 정보 등 민감한 정보는 영원히 폐쇄망에 남아야 한다”라고 언급했다.
이어 “어느 범위까지 어떤 목적으로 사용하는지를 공개하고 범위를 정확하게 설정해야 한다”며 “보안 취약점은 있긴 하지만 흔히 말하는 주요 데이터를 다루지 않다는면 규제 완화해도 문제는 없을 것 같다”라고 덧붙였다.
한편 당국은 망분리 체제를 강제로 해제해야 하는 의무는 없단 입장이다. 금융위 관계자는 더리브스 질의에 “AI 관련 테스트는 국내외 인증받은 클라우드 프로그램만 사용할 예정이다”며 “이번 규제 완화는 기존 망분리를 강제로 해제해야 하는 의무가 아니며 은행사 사정에 따라 폐쇄망을 유지해도 무방하다”라고 설명했다.
은행권도 망분리 규제 완화를 반기지만 보안 문제는 보수적으로 접근할 예정이다. 은행권 관계자는 더리브스와 통화에서 “보안에 대해 중요 정보는 철저히 보호하면서 저위험 영역은 유연하게 운영할 수 있도록 규제를 합리화할 필요는 있다”라고 말했다.
신지영 기자 szy0918@tleaves.co.kr
Copyright ⓒ 더리브스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
