금융사 10곳 망분리 해제
해외 솔루션 도입 길도 열려
취약점 발견·선제대응 기대
당국, 연내 전면해제 검토중
고성능 AI(인공지능)를 내부망에서 활용할 수 있게 되는 10개 금융사의 보안역량은 대폭 상승할 것으로 예상된다. 특히 고성능 AI는 하루에 수천 건의 모의해킹 시나리오를 실행하면서 핵심 보안수단으로 떠올랐다. 당초 지난해까지 "망분리의 효과에 관한 금융사들의 데이터가 충분하지 않다"던 금융당국은 입장을 선회해 '연내 원칙적으로 전금융사에 대한 망분리를 전면해제'하는 방안까지 검토 중이다.
14일 금융권과 보안업계에 따르면 미국 AI기업 앤트로픽의 최상위 모델인 '미토스'는 하루에 수천 건의 모의해킹 시나리오를 실행할 수 있는 것으로 추정된다. 국내 대형은행은 10명 내외로 구성된 모의해킹팀을 보유하는데 이들이 하루에 1인당 돌릴 수 있는 시나리오는 많으면 1개에 그친다.
미토스를 해킹공격에 활용할 경우 인간보다 수천 배 이상 취약점을 찾아낸다는 뜻이지만 반대로 보안에 접목하면 그만큼 선제적으로 취약점을 제거할 수 있다는 의미가 된다. 그간 망분리 규제를 적용받은 공공부문과 금융업권은 외부 프로그램인 미토스 등 생성형 AI를 들여오기 위해서는 금융위원회의 혁신금융서비스 지정과 같은 정부의 예외승인이 필요했다. 하지만 지난 3월말 미토스의 해킹능력에 관한 보고서가 유출되면서 국가정보원이 가장 먼저 나선 망분리 완화가 전업권으로 퍼지는 모양새다. 국정원은 지난 5월 기존 망분리 조항을 삭제하고 정보별 차등적인 보안을 적용하는 '국가 사이버 보안 기본지침'을 시행했다.
망분리 완화 대상으로 선정된 한 금융사 고위관계자는 "국내 보안의 최상위 지침인 국정원의 지침이 바뀌면서 보안의 패러다임이 바뀌었다"며 "성벽을 엄하게 만드는 망분리가 아니라 성에 들어와도 내부 시스템별로 보안 인증체계를 갖춘 '제로 트러스트' 방식으로의 전환"이라고 말했다.
다만 당장은 미국 행정부가 미토스에 대한 수출통제에 나섰기 때문에 국내 금융권은 클로드 오퍼스 등 다른 고성능 AI를 우선적으로 활용할 것으로 보인다. 금융권에서는 생성형 AI가 내부망에서 보안목적으로 활용되면 은행 내부서버를 직접 스캔할 수 있게 되면서 취약점 발견 가능성이 대폭 상승할 것이라고 기대한다.
아울러 외국 유명 보안 Saas(서비스형 소프트웨어)를 활용한 방어시스템 구축도 가능해진다. 특히 미국의 '퀄리스' 혹은 이스라엘의 '크라우드 스트라이크' 등 외국 보안솔루션은 인터넷 연결을 전제로 하는 클라우드 환경 Saas를 통해서만 서비스를 제공하기 때문이다. 그동안 이같은 보안 클라우드 서비스는 외부 인터넷망과의 연결을 전제로 해 망분리에 구멍을 만들 수 있어 금융당국의 허가가 까다로운 편이었다.
독자들의 PICK!
금융권은 보안부문의 망분리 해제뿐만 아니라 산업진흥 차원에서 전면적인 망분리 해제도 속도가 날 것이라고 기대한다. 그간 금융위는 보안과 혁신의 균형을 강조하며 전면적인 망분리 해제에 대해서는 "망분리를 통한 혁신의 효과가 충분히 확인되지 않았다"고 신중한 태도를 보여왔다. 실제 국내 은행이 혁신금융서비스를 받아 생성형 AI를 활용한 서비스를 출시한 것은 지난해 5월 신한은행과 카카오뱅크가 처음이다.
하지만 금융당국은 미토스발 보안위협을 계기로 AI를 전영역에 활용하는 '체질개선'을 강조하며 망분리 규제를 전면해제하는 방안도 검토하고 있다. 실제 지난 10일 이억원 금융위원장은 5대 금융지주(KB·신한·하나·우리·NH) 회장을 만난 자리에서 "'일정 수준의 보안'이 올라온 금융사에 대해서는 원칙적으로 연내 망분리를 전면해제한다"는 입장을 설명한 것으로 전해진다.
당시 회의에 배석한 금융권 고위관계자는 "미토스가 7월에 풀리면 보안이 뚫릴 게 뻔하기 때문에 보안부문의 망분리가 우선적으로 실행됐다"며 "위원장이 언급한 전면해제의 '일정 수준의 보안'이 뭔지에 대해서는 우선 보안부문에서 해제된 10개 금융사를 지켜보면서 기준이 정해질 것"이라고 설명했다.
