고성능 AI 공격 민관합동 대비
내달부터 1년간 한시적 규제 완화
전 금융권 보안체계 구축이 핵심
역량 충족 시 규제 전면 해제 검토
금융위원회가 미토스 인공지능(AI)의 해킹 위협에 대응하기 위해 금융회사의 보안·대응용 AI 활용을 위한 망분리 규제를 이르면 내달부터 1년 간 한시적으로 풀어준다. 향후 고도의 보안 역량을 갖춘 금융회사에 대해서는 망분리 규제의 전면 해제도 검토한다. 고성능 AI 모델이 기존 보안 시스템을 단시간에 해킹할 수 있다는 위협이 가시화되면서 민관이 사이버 보안 강화에 나서고 있다.
24일 금융위원회에 따르면 지난 22일 권대영 금융위 부위원장은 은행·증권·카드사 정보보호최고책임자와 AI·보안분야 전문가가 참석한 가운데 고성능 AI 관련 금융권 보안위협 대응 간담회를 개최했다. 이 자리에서 금융위는 금융회사가 인공지능 전환(AX) 시기의 새로운 보안위협에 효과적으로 대응하고, 생산적·혁신적인 금융서비스 제공을 위해 AI를 적극적으로 활용할 수 있도록 제도 개선 방안을 논의했다.
국내 금융회사는 전자금융감독규정에 따라 업무용 시스템과 전산실 내 정보처리시스템을 외부 통신망과 분리·차단하는 엄격한 망분리 규제를 받고 있다. 그러나 금융위는 망분리 규제가 고성능 AI를 활용한 취약점 탐지나 AI 기반 보안 시스템 구축에 한계가 있다고 설명했다. 이에 따라 금융위는 보안목적 AI 활용 시 망분리 규제를 우선적으로 완화하고, 고성능 AI를 활용한 취약점 확인과 보안 SaaS 솔루션 도입 등 보안목적 AI 활용에 대해 신속히 규제 완화를 추진한다는 방침이다.
망분리 규제 완화 신청 자격은 총자산 10조원 이상, 상시종업원수 1000명 이상, 전자금융거래법상 전담 CISO를 둔 49개 금융회사로 한정된다. 신청 금융회사에 대해서는 보안관리 역량과 AI 활용 능력 등에 대한 전문가 평가와 금융위원회 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 한시적으로 망분리 규제가 완화된다. 접수·심사는 효율성을 위해 1~3회차로 나눠 진행되며, 1회차는 10개사 이내로 6~7월 중 마무리될 예정이다. 2회차는 8~9월 중 10~20개사를 대상으로, 3회차는 4분기 중 나머지 신청 수요를 반영해 진행된다.
권대영 금융위 부위원장은 “고성능 AI 보안위협은 감기 바이러스와 같아서, 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협”이라며 “마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생이 금융권이 갖춰야 할 보안 습관”이라 강조했다.
금융위는 보안역량과 AI 활용능력이 뛰어난 금융회사에 대해서는 망분리 규제의 전면 해제 방안도 검토한다. 역량이 입증된 회사는 전면적 망분리 규제 완화를 통해 체계적인 AI 보안체계 구축과 챗봇상담, 자산관리, 여신심사, 기업금융, 내부통제 등 다양한 금융서비스에 AI를 폭넓게 활용할 수 있다.
다만 금융위는 모든 금융사에 망분리 규제의 전면 해제에는 신중론을 견지했다. 금융사별로 보안관리 역량과 AI 활용 능력에 격차가 큰 상황에서 보안역량이 낮은 금융사에는 망분리 규제가 여전히 필요하다는 판단때문이다.
JP모건 등이 참여하는 미토스 프로젝트 보고서가 오는 7월 발표될 예정이고, 관련 AI 보안 패치가 시장에 대거 출시되는 만큼 AI보안을 강화한 금융사에 보안 목적의 망분리 규제를 과감하게 풀어서 고성능 AI의 특성을 분석해 테스트할 기회를 주겠다는 입장이다. 이를 통해 실제 고성능 AI가 공격해도 전체 금융사가 대응할 수 있는 정보를 공유해 ‘전 금융권이 보안체계를 만드는 것’이 핵심이라는 설명이다.
금융위 관계자는 “망분리 규제는 ‘양날의 검’으로 모든 금융회사에 망분리 규제를 완화하는 것은 위험하다”면서 “보안이 취약한 회사에 AI를 강화하라는 것이 아니라, AI 활용능력이 뛰어난 선별된 금융사에 성공사례를 축적하고 AI혁신서비스에 앞장설 기회를 주는 것”이라고 말했다.
mj@fnnews.com 박문수 박소현 기자
