고성능 AI를 내부망에서 활용할 수 있게 되는 10개 금융사의 보안 역량은 대폭 상승할 것으로 예상된다. 특히 고성능AI는 하루에 수천 건의 모의해킹 시나리오를 실행하면서 핵심 보안 수단으로 떠오르고 있다. 당초 지난해까지 '망분리의 효과에 관한 금융사들의 데이터가 충분하지' 않다던 금융당국은 입장을 선회해 '연내 원칙적으로 전 금융사에 대한 망분리를 전면 해제'하는 방안까지 검토 중이다.
15일 금융권과 보안업계에 따르면 미국 AI기업 앤트로픽의 최상위 모델인 '미토스'는 하루에 수천 건의 모의해킹 시나리오를 실행할 수 있는 것으로 추정된다. 국내 대형은행은 10명 내외로 구성된 모의해킹팀을 보유하는데, 이들이 하루에 1인당 돌릴 수 있는 시나리오는 많으면 1개에 그친다.
미토스를 해킹 공격에 활용할 경우 인간보다 수천 배 이상 취약점을 찾아낸다는 뜻이지만, 반대로 보안에 접목하면 그만큼 선제적으로 취약점을 제거할 수 있다는 의미가 된다. 그간 망분리 규제를 적용받아온 공공 부문과 금융업권은 외부 프로그램인 미토스 등 생성형AI를 들여오기 위해서는 금융위원회의 혁신금융서비스 지정과 같은 정부의 예외 승인이 필요했다.
하지만 지난 3월말 미토스의 해킹 능력에 관한 보고서가 유출되면서 국가정보원이 가장 먼저 나선 망분리 완화가 전 업권으로 퍼지는 모양새다. 국정원은 지난 5월 기존 망분리 조항을 삭제하고 정보별 차등적인 보안을 적용하는 '국가 사이버 보안 기본 지침'을 시행했다.
망분리 완화 대상으로 선정된 한 금융사 고위 관계자는 "국내 보안의 최상위 지침인 국정원 지침이 바뀌면서 보안의 패러다임이 바뀌었다"라며 "성벽을 엄하게 만드는 망분리가 아니라, 성에 들어와도 내부 시스템별로 보안 인증 체계를 갖춘 '제로 트러스트' 방식으로의 전환이다"라고 말했다.
다만 당장은 미국 행정부가 미토스에 대한 수출 통제에 나섰기 때문에 국내 금융권은 클로드 오퍼스 등 다른 고성능AI를 우선적으로 활용할 것으로 보인다. 금융권에서는 생성형AI가 내부망에서 보안 목적으로 활용되면 은행 내부 서버를 직접 스캔할 수 있게 되면서 취약점 발견 가능성이 대폭 상승할 거라고 기대한다. 그간 망분리 하에서는 외부 전문기관이 가진 보안 수단을 통해 은행 외부에서 내부를 침입 시도하는 방식으로 점검테스트를 해왔다.
아울러 외국 유명 보안 Saas(서비스형 소프트웨어)를 활용한 방어시스템 구축도 가능해진다. 특히 미국의 퀄리스 혹은 이스라엘의 크라우드 스트라이크 등 외국 보안 솔루션은 인터넷 연결을 전제로 하는 클라우드 환경 Saas를 통해서만 서비스를 제공하기 때문이다. 그동안 이같은 보안 클라우드 서비스는 외부 인터넷 망과의 연결을 전제로 해 망분리에 구멍을 만들 수 있어 금융당국의 허가가 까다로운 편이었다.
독자들의 PICK!
금융권은 보안 부문의 망분리 해제 뿐만 아니라 산업 진흥 차원에서 전면적인 망분리 해제도 속도가 날 것으로 기대한다. 그간 금융위는 보안과 혁신의 균형을 강조하며 전면적인 망분리 해제에 대해서는 '망분리를 통한 혁신의 효과가 충분히 확인되지 않았다'고 신중한 태도를 보여왔다. 실제 국내 은행이 혁신금융서비스를 받아 생성형 AI를 활용한 서비스를 출시한 것은 지난해 5월 신한은행과 카카오뱅크가 처음이다.
하지만 금융당국은 미토스발 보안 위협을 계기로 AI를 전 영역에 활용하는 '체질 개선'을 강조하며 망분리 규제를 전면 해제하는 방안도 검토하고 있다. 실제 지난 10일 이억원 금융위원장은 5대 금융지주(KB·신한·하나·우리·NH) 회장을 만난 자리에서 ''일정 수준 보안'이 올라온 금융사에 대해서는 원칙적으로 연내 망분리를 전면 해제한다'는 입장을 설명한 것으로 전해진다.
당시 회의에 배석한 금융권 고위 관계자는 "미토스가 7월에 풀리면 보안이 뚫릴 게 뻔하기 때문에 보안 부문의 망분리가 우선적으로 실행됐다"라며 "위원장이 언급한 전면 해제의 '일정 수준의 보안'이 뭔지에 대해서는 우선 보안 부문에서 해제된 10개 금융사를 지켜보면서 기준이 정해질 것이다"고 설명했다.
