금융당국이 금융권의 인공지능(AI) 전환(AX)을 지원하기 위해 보안 목적의 AI 활용에 한해 망분리 규제를 완화하고, 향후 일부 금융회사에는 망분리 규제를 전면 해제하는 방안까지 검토하기로 했다. 동시에 금융AI보안연구소 신설과 AI 보안 가이드라인 마련 등을 통해 금융권의 AI 기반 보안체계 구축도 본격 지원한다는 방침이다.
금융위원회는 지난 22일 권대영 부위원장 주재로 ‘고성능 AI 관련 금융권 보안위협 대응 간담회’를 열고 이 같은 내용을 담은 금융권 대응방안을 공개했다. 간담회에는 금융감독원·금융보안원과 은행·증권·카드업계 주요 금융회사 정보보호최고책임자(CISO), AI·보안 전문가 등이 참석했다.
우선 금융위는 보안 목적 AI 활용에 대해서는 망분리 규제를 한시적으로 완화하기로 했다. 고성능 AI를 활용한 취약점 점검과 보안 SaaS 솔루션 도입 등을 허용하는 방식이다.
이번 대책은 최근 미국 앤트로픽의 고성능 AI ‘미토스(Mythos)’를 계기로 금융권 사이버보안 위협 우려가 커진 데 따른 대응 성격이 짙다. 금융위는 “AI 공격은 AI로 방어해야 한다”는 업계 요구를 반영해 기존 망분리 규제 체계의 유연화에 나서겠다는 입장이다.
다만 신청 대상은 일정 수준 이상의 보안 역량을 갖춘 금융회사로 제한된다. 총자산 10조원 이상, 상시 종업원 1000명 이상으로 전담 CISO를 두고 있는 49개 금융회사가 대상이다. 금융위는 신청 금융회사에 대해 보안관리 역량과 AI 활용 능력 등을 평가한 뒤 비조치의견서 발급 등을 거쳐 1년간 한시적으로 망분리 규제를 완화할 계획이다.
일정도 구체화했다. 1차는 10개사 이내를 대상으로 6~7월 중 절차를 마무리하고, 2차는 8~9월 중 10~20개사를 추가 선정한다. 이후 4분기 중 나머지 신청 수요를 반영해 추가 심사를 진행한다는 방침이다.
망분리 완화 조치를 적용받는 금융회사는 AI 기반 취약점 테스트와 보안 SaaS 활용 결과를 정부와 공유해야 한다. 금융위는 이를 통해 고성능 AI 보안위험 특성과 대응 요령 등을 축적하고, 향후 금융권 전체 가이드라인 마련에 활용할 계획이다.
특히 금융위는 일부 금융회사에 대해서는 망분리 규제를 전면 해제하는 방안까지 검토하겠다고 밝혔다. 고도의 보안 역량과 AI 활용 능력을 갖춘 금융회사를 선별해 성공 사례를 만든 뒤 금융권 전반으로 확산시키겠다는 전략이다.
전면 완화가 적용될 경우 해당 금융회사들은 AI 기반 보안체계를 구축하는 것은 물론 챗봇 상담, 자산관리, 여신심사, 기업금융, 내부통제 등 업무·서비스 전반에서 AI 활용 범위를 넓힐 수 있을 것으로 금융위는 보고 있다.
조직과 지원 체계도 강화된다. 금융위는 AI·보안·정보보호 전문가로 구성된 ‘민간 기술자문단’을 운영해 금융회사 보안 역량과 준비 상황을 평가하고, 국내외 AI 보안위협 동향과 정책 과제를 자문받을 예정이다.
지난 4월부터 운영 중인 ‘고성능 AI 보안위협 금융권 상황대응반’도 상시 운영 체계로 전환한다. 금융위·금감원·금융보안원과 전 업권 CISO가 참여해 현장 애로사항과 대응 현황을 수시 점검하는 창구로 활용할 계획이다.
금융보안원의 기능 강화도 추진된다. 금융위는 금융보안원 내에 ‘금융AI보안연구소’를 신설해 AI 기반 사이버공격 동향 분석과 대응 연구를 수행하도록 할 방침이다. 아울러 중소 금융회사와 핀테크 기업 지원을 위한 ‘AI보안지원센터’도 마련해 AI 취약점 점검과 위협 동향 공유 등을 지원하기로 했다.
금융위는 다음 달 중 금융권 AI 보안 가이드라인도 마련한다. 가이드라인에는 전산자원 분류 기준과 보안패치 우선순위 등 실무 기준이 포함될 예정이다. 금융회사 현장 설명회와 맞춤형 지원도 병행한다.
보안패치 과정에서 불가피하게 발생한 경미한 전산 장애에 대해서는 제재 감경·면책도 추진한다. 금융권에서는 보안패치 필요성이 크더라도 시스템 오류 발생 시 책임 부담 때문에 적용이 지연되는 사례가 있다는 점을 지속적으로 건의해왔다.
중소 핀테크 기업 지원책도 포함됐다. 금융위는 AI 기반 보안점검 비용 지원과 취약점 점검 도구 제공 등을 통해 상대적으로 보안 대응 여력이 부족한 핀테크 기업의 보안 역량 강화를 지원할 계획이다.
권대영 금융위 부위원장은 “고성능 AI 보안위협은 감기 바이러스처럼 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협”이라며 “마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생이 금융권에 필요하다”고 말했다.
이어 “금융 AX 대전환은 단순한 기술 도입을 넘어 금융서비스의 근본적인 체질 개선을 의미한다”며 “정부도 생산적·포용적·신뢰 금융을 위한 AI 활용이 가능하도록 과감한 제도 개선을 해나가겠다”고 밝혔다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
