1차 보안목적 AI 활용 망분리 허용...역량 검증된 금융사는 전면 해제
1금융당국이 고성능 AI시대의 보안 위협과 활용성을 키우기 위해 금융권 망분리 규제를 대폭 완화한다. 우선 보안 목적에 한해 일부 금융회사에 망분리 예외를 허용하고, AI·보안 역량이 검증된 금융사에는 망분리 규제 자체를 전면 해제하는 방안까지 검토한다.
금융위원회는 24일이같은 내용을 담은 '고성능 AI 관련 금융권 보안 위협 대응 방안'을 발표했다.
금융당국이 망분리 규제 완화에 속도를 내는 배경에는 최근 급부상한 고성능 AI의 보안 위협이 있다. 금융위는 미국 AI 기업 앤트로픽의 '미토스(Mythos)' 등 고성능 AI가 기존 취약점 탐지 프로그램이 발견하지 못한 보안 취약점을 찾아내고 스스로 해킹 공격을 기획·실행할 가능성까지 제기된다고 설명했다.
이에 금융위는 "AI 공격은 AI로 방어한다"는 방향 아래 금융권 보안 체계 자체를 AI 중심으로 전환하기로 했다. 핵심은 보안 목적 AI 활용에 대한 망분리 규제 완화다.
우선 총자산 10조원 이상이면서 상시 종업원 수 1000명 이상인 금융회사 가운데 전담 CISO를 둔 49개 금융회사를 대상으로 신청을 받는다. 금융회사가 신청하면 민간 기술자문단이 보안역량과 AI 활용 준비 수준 등을 평가하고, 금융위 보고와 비조치의견서 발급 절차를 거쳐 한시적으로 망분리 규제를 완화한다.
완화 대상 업무는 △AI를 활용한 내부 취약점 점검 △보안 SaaS 기반 방어 시스템 구축 등 보안 목적에 한정해 1년간 규제가 풀린다. 조건도 붙는다. 보안성이 검증된 AI만 사용해야 하고 추가 보안조치를 준수해야 한다. 또 △고성능 AI 보안의 위험성과 특징 △공격용도로 악용될 경우 예상 수법 △효과적인 방어 요령 등을 당국에 보고해야 한다.
신청·심사는 3차례로 나눠 진행된다. 1차는 10개사 이내를 대상으로 오는 6~7월 중 마무리한다. 이후 2차는 8~9월 중 10~20개사를 목표로 추진하고, 3차는 나머지 수요를 고려해 4분기 중 진행한다.
금융위는 일부 금융회사에 대해 망분리 규제를 전면 해제하는 방안도 검토하기로 했다. 대상은 고도의 보안역량과 AI 활용 능력을 갖춘 금융회사다. 금융위는 기획형 혁신금융서비스 방식 등을 활용해 금융회사에 대해 망분리 규제를 전면 해제하는 방안을 연내 추진할 계획이다. 민간 기술자문단과 혁신위 심사를 거쳐 △보안역량 △AI 활용 능력 △망분리 대체 보안조치 등을 종합 평가해 선별한다.
독자들의 PICK!
선정된 금융사는 AI 기반 자체 보안 프로그램 구축, AI 기반 패치 자동화 등 전면적인 AI 보안 체계를 도입할 수 있게 된다. 대고객 서비스 활용 범위도 넓어진다. 금융위는 챗봇 상담·자산관리, 여신심사, 기업금융, 내부통제 등 금융회사 전반 업무에 AI를 폭넓게 적용할 수 있을 것으로 기대했다.
김태훈 금융위 금융안전과장은 "지금 같은 망분리 규제 완화 속도로는 급변하는 AX(인공지능 전환)을 금융사가 따라잡을 수 있어 체질개선이 시급한 상황까지 왔다"라며 "고도의 보안역량과 AI활용 능력을 갖춘 금융사부터 과감하게 규제를 완화해 가보지 않은 길에서 성공사례를 축적하겠다"고 말했다.
망분리 규제 전면 해제 대상이 되는 금융사를 심사하는 민간 기술자문단은 AI·보안·정보보호 분야에 정통한 학계·보안업계·법조계 전문가들로 구성된다. 과학기술정보통신부와 한국인터넷진흥원(KISA), 금융보안원 등이 추천한 전문가도 참여한다. 자문단은 망분리 완화 관련 자문과 함께 금융사의 보안역량, AI 활용능력, 대체 보안조치 등을 종합 평가하게 된다.
금융위는 금융권과의 상시 소통채널도 강화한다. 지난 4월부터 운영 중인 '고성능 AI 보안위협 금융권 상황대응반'을 상시 개최해 금융권 대응 현황과 애로사항을 점검하고, 국내외 AI 보안 동향과 대응 요령 등을 신속히 공유할 계획이다.
금융보안원 내에는 '금융 AI 보안연구소'도 신설한다. 기존 AI혁신부를 확대 개편해 AI 기반 사이버 공격 분석, 대응기법 개발, 침해 대응 지원, 인력양성 등을 종합 수행하는 조직으로 키운다는 구상이다. 중소 금융회사 지원을 위한 'AI 지원센터'도 함께 마련해 AI 취약점 점검과 대응요령 안내 등을 지원한다.
금융당국은 금융회사의 AI 보안 위협 대응 체계도 정비한다. 오는 6월 중 AI 보안 위협을 대비하는 세부 대응요령을 담은 가이드라인을 마련해 △전산자원 현황 점검 △보안패치 우선순위 △불필요한 외부 접점 폐기 △계정·접근권한 관리 △공급망 관리 강화 등의 기준을 제시한다.
아울러 금감원은 정보보안 대비 태세 점검 체크리스트를 통해 금융회사 보안 대비태세도 점검할 예정이다. 또 긴급 보안패치 과정에서 발생한 경미한 전산장애에 대해서는 신속한 복구와 소비자 보호조치를 전제로 제재 감경·면책도 추진한다.
권대영 금융위 부위원장은 "고성능 AI 보안위협은 감기 바이러스처럼 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협"이라며 "마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생(Cyber Hygiene)이 금융권에 필요하다"고 말했다.
