경미한 전산장애 기준 마련
피해 미미하면 제재 없어
금융보안원 가이드라인도
“규제 아닌 우선순위 결정 지원”
미국 인디애나주 뉴칼라일에 있는 아마존웹서비스(AWS) AI 데이터센터에서 한 기술자가 설비를 점검하고 있는 모습. 뉴시스
금융위원회, 금융보안원 제공
[파이낸셜뉴스] 금융당국이 미토스 대응에 속도를 내고 있다. 금융위원회는 인공지능(AI) 보안패치를 업데이트하는 과정에서 발생한 전산장애가 경미하다면 제재를 면책한다.
금융보안원은 ‘프런티어 AI 보안 위협 금융분야 대응 요령’을 마련·배포해 금융회사 내 의사결정이 빠르게 이뤄질 수 있도록 독려한다. 당국이 가시화된 AI의 보안 위협에 선제 대응할 수 있도록, 업계에 ‘당근과 채찍’을 주고 있다.
금융위는 30일 면책심의위원회를 열고 ‘AI 보안테스트·보안패치 과정에서 발생하는 전산장애에 대한 면책조치’를 심의·의결했다. 미토스로 대표되는 프런티어 AI의 보안위협에 금융회사가 적극적으로 대응할 수 있도록 제도적 지원에 나선 모습이다.
금융위는 지난 5월 22일 ‘고성능 AI 보안위협 대응 간담회’를 열고 업계의 민원을 청취했다. 업계에서는 △어떤 보안패치가 가장 시급한지 우선순위를 정해달라는 요구와 함께 △보안패치 과정에서 발생할 수 있는 사고를 우려했다.
금융위는 이 간담회 이후 금융감독원·금융보안원과 함께 면책범위·내용 및 가이드라인에 필요한 세부항목 등에 대한 업계의 의견 수렴 과정을 거쳤다. 이후 AI·보안·법률 전문가로 구성된 ‘민간기술자문단’의 조언을 반영해 면책 방안을 구성했다.
■ “작은 피해, 신속 보고 면책”
이번 조치에 따라 금융회사는 프런티어 AI 위협에 대응하는 과정에서 경미한 전산장애가 발생해도 각종 제재를 면책받는다.
예를 들어 △보안목적 AI 등을 활용한 공격표면 점검·취약점 확인 △보안 취약점에 대한 보안패치 등의 과정에서 전산시스템이 오작동해도 피해가 크지 않다면 괜찮다는 것이다.
구체적으로는 신속한 복구와 소비자 보호조치가 이루어졌다면 이와 관련한 기관·임직원 신분제재나 과태료 부과 등 제재 조치는 면책된다. 금융위·금감원·금보원에서 전파한 보안 취약점에 대해 긴급 보안 패치(OS·SW 등) 과정에서 발생한 경미한 사고도 조건을 갖췄다면 면책된다.
면책요건은 △경미한 전산장애인지 △얼마나 신속하게 복구했는지 △소비자 보호 조치를 마련·이행했는지 등을 종합적으로 고려한다.
경미한 전산장애란 ‘금융회사의 검사 및 제재에 관한 규정 시행세칙’에 따라 △고의성이 없고 △1억원 미만의 금전 피해와 △최대 4시간 이내 사고 △개인신용정보를 제외한 1만건 미만의 고객정보 유출 등 해당기준 이내를 뜻한다.
면책범위는 기관·임직원에 대한 제재·신분제재, 과태료를 포괄한다. 하지만 신용정보법에 따른 개인신용정보 유출사고가 발생하면 이번 조치와 관계없이 제재조치가 이뤄진다.
■ ‘대응요령’ 규제는 아니지만, 권장
금융보안원은 ‘프런티어 AI 보안 위협 금융분야 대응 요령’도 배포했다. 금융회사가 보안위협에 보다 적극적으로 대응할 수 있도록 가이드라인을 만든 것이다. 금보원은 “요령은 규제적 성격이 아니며, 프런티어 AI 보안 위협 대응을 위한 안내”라고 설명했다.
대응요령 골자는 △경영진 책임 강화(거버넌스) △취약점 및 패치 관리 △자산·공급망 식별·관리 △AI 기술 기반 방어 자동화 △금융권 공동대응·복원력 강화 △침해확산 방지 체계 등 이다.
경영진의 책임을 강화하기 위해 각 사의 이사회와 최고경영자(CEO)가 AI 보안위협에 적극 대응할 필요가 있다고 명시했다. 이사회 내 정보보호위원회 등에서 보안위협을 핵심 안건으로 다루고, 최종 책임자인 이사회와 CEO는 CISO에게 실질적인 예산 편성권과 인력 운영의 권한을 부여하라는 것이다.
국내·외에서 AI를 활용한 보안테스트가 활발히 이뤄지면서 취약점 발견이 빠르게 늘어날 수 있는 만큼, 보안 패치 관리의 중요성도 들어갔다. 수 많은 보안패치 작업을 한정된 시한내 이뤄내야 하는 상황에서 패치 우선순위를 설정하도록 했다. 또 패치가 불가피하게 지연되면 네트워크를 임시로 격리하거나 서비스를 제한하라고 권했다.
금융위는 “프런티어 AI 보안위협 관련 국내외 상황이 빠르게 변화하고 있는 만큼 금융회사의 불안감을 낮추고 적극적인 보안강화 조치를 유도하는데 방점을 두고 이번 방안을 마련했다”면서 “이번 면체조치와 가이드라인 배포를 통해 금융업계가 적극적이고 신속하게 전산자원 관리·취약점 탐지·보안 패치 적용 등 관리강화 조치에 나서줄 것을 기대한다”고 설명했다.
또 “앞으로도 프런티어 AI 관련 국내외 상황변화, 망분리규제 완화 등을 통한 AI 보안테스트 결과 등을 반영하여 가이드라인 등을 유연하고 신속하게 보완해 나갈 계획”이라며 “망분리규제 전면해제 등을 포함해 금융권의 AI 대전환을 지원할 다양한 정책과제를 적극적으로 추진해 나갈 예정”이라고 강조했다.
mj@fnnews.com 박문수 기자
로딩 중…
로딩 중…
로딩 중…
레이어
“보안 패치 업데이트 서두를 수 있도록”…금융위, 미토스 대응 전산장애 면책
금융당국이 미토스 대응에 속도를 내고 있다.
금융위원회는 인공지능 보안패치를 업데이트하는 과정에서 발생한 전산장애가 경미하다면 제재를 면책한다.
