[서울=뉴스핌] 채송무 기자 = 금융위원회가 고성능 인공지능(AI) 시대를 맞아 금융권 보안체계 전면 개편에 나선다. 단순히 해킹 위협을 차단하는 수준을 넘어, AI를 활용해 AI 기반 사이버 공격에 대응하는 방향으로 정책 기조를 전환하겠다는 의미다.

금융위는 22일 금융보안원 회의실에서 권대영 부위원장 주재로 열린 '고성능 AI 관련 금융권 보안위협 대응 간담회'에서 망분리 규제 완화, AI 보안 전담조직 신설, AI 보안 가이드라인 마련 등 금융권 AX(AI 전환)를 지원하기 위한 종합 정책 방향을 공개했다.

이번 정책의 핵심은 기존 금융권 보안체계가 전제해온 '폐쇄형 방어' 방식만으로는 고성능 AI 기반 공격을 감당하기 어렵다는 문제의식이다. 최근 미국 AI 기업 엔트로픽 사의 고성능 AI '미토스(Mithos)'가 보안 취약점을 자동 탐지하고 해킹 공격을 스스로 설계할 수 있는 수준까지 발전했다는 평가가 나오면서 금융당국도 대응 속도를 높이고 있다.

◆"AI 공격은 AI로 방어"…금융위 정책 방향 전환

금융위가 이번에 제시한 정책 방향은 크게 세 가지다. 첫 번째는 고성능 AI 보안위협의 선제적 파악이다. 금융위는 과학기술정보통신부, 외교부 등 관계부처와 협업해 글로벌 AI 보안 동향을 상시 점검하고, 확보된 위협 정보와 대응 방안을 금융권에 실시간 공유하기로 했다.

이는 개별 금융회사가 해외 AI 보안 이슈를 독자적으로 파악하기 어렵다는 현장의 요구를 반영한 조치다. 특히 AI 기반 공격은 기존 보안 사고와 달리 발생 속도가 빠르고 자동화 수준이 높아 정보 공유 체계가 핵심 대응 수단으로 평가된다.

두 번째는 망분리 규제 완화다. 현재 국내 금융권은 전자금융감독규정에 따라 업무망과 외부 인터넷망을 분리해야 한다. 이는 외부 침입 가능성을 줄이는 데 효과적이지만, 클라우드 기반 AI 보안 솔루션이나 외부 AI 모델 활용에는 구조적 제약이 있다는 지적이 지속돼왔다.

금융위는 이에 따라 일정 보안 역량을 갖춘 금융회사에 대해 보안 목적의 AI 활용을 허용하기로 했다. 대상은 총자산 10조원 이상, 상시 종업원 1000명 이상 등 일정 기준을 충족해 전담 CISO를 둔 49개 금융회사다. 선정된 금융사는 1년간 한시적으로 망분리 규제를 완화받아 ▲AI 기반 취약점 탐지 ▲보안 SaaS 활용 ▲AI 기반 방어시스템 구축 등을 수행할 수 있게 된다.

정책적으로 중요한 부분은 단순한 규제 예외 허용이 아니라, '선별적 규제 샌드박스' 방식으로 운영된다는 점이다.

금융위는 참여 금융회사로부터 AI 보안 테스트 결과와 위험 분석 자료를 제출받아 이를 향후 금융권 전체 가이드라인 구축에 활용할 계획이다. 즉, 일부 금융회사를 실험군 형태로 운영하면서 금융권 전체의 AI 보안 표준을 구축하겠다는 전략이다.

◆'전면적 망분리 해제'까지 검토

금융위는 여기서 더 나아가 일부 금융회사에 대해서는 망분리 규제를 사실상 전면 해제하는 방안도 검토하겠다고 밝혔다.

AI 활용능력, 보안통제 체계, 내부통제 수준 등을 종합 평가해 '고도화된 AI·보안 역량'을 갖춘 금융회사만 선별적으로 허용한다는 방침이다. 이 경우 금융회사는 단순 보안 목적을 넘어 ▲AI 기반 자산관리 ▲챗봇 상담 ▲여신심사 ▲기업금융 ▲내부통제 자동화 등 금융서비스 전반에 AI를 폭넓게 활용할 수 있게 된다.

특히 금융위는 "현재 수준의 망분리 완화 속도로는 글로벌 금융 AX 경쟁에서 뒤처질 수 있다"고 언급하며 규제 개편 속도를 높이겠다는 의지를 드러냈다.

◆금융보안원에 '금융 AI보안연구소' 신설

조직 개편도 추진된다. 금융보안원은 기존 침해사고 대응 기능을 넘어 AI 기반 사이버보안 전담 기능을 강화하게 된다. 금융위는 금융보안원 내에 '금융 AI보안연구소'를 신설해 ▲AI 기반 공격 탐지 ▲최신 위협 분석 ▲AI 보안 기술 연구 등을 수행하도록 할 계획이다.

아울러 중소 금융회사와 핀테크 기업 지원을 위한 'AI보안 지원센터'도 운영한다. 상대적으로 보안 인력과 예산이 부족한 중소형 핀테크 기업에는 ▲AI 보안 점검 비용 지원 ▲취약점 탐지 도구 제공 ▲보안 가이드라인 제공 등을 지원할 예정이다.

금융위는 오는 6월 중 금융권 AI 보안 가이드라인도 마련한다. 가이드라인에는 ▲전산자원 분류기준 ▲보안패치 우선순위 ▲AI 활용 시 보안관리 체계 등 실무 기준이 포함될 예정이다.

특히 주목되는 부분은 '적극적 보안패치 면책' 방침이다. 그동안 금융회사들은 보안패치 적용 과정에서 전산 장애가 발생할 경우 제재 가능성을 우려해 패치를 늦추는 경우가 있었다. 금융위는 앞으로 긴급 보안 대응 과정에서 발생한 경미한 장애에 대해서는 소비자 보호 조치와 신속한 복구를 전제로 제재 감경 또는 면책을 검토하기로 했다.

이는 금융당국이 기존 사후책임 중심 감독 방식에서 예방 중심 감독 체계로 일부 방향을 조정하고 있다는 의미로도 해석된다.

◆권대영 "AI는 위험이 아니라 관리 대상"

권대영 금융위 부위원장은 이날 모두발언에서 "고성능 AI 보안위협은 감기 바이러스처럼 완전히 차단할 수 있는 대상이 아니라 함께 살아가며 관리해야 하는 위협"이라며 "금융권이 마스크를 쓰듯 AI 방어체계를 일상적 보안 습관으로 정착시켜야 한다"며 금융권의 상시적 AI 보안 역량 강화를 주문했다.

금융권에서는 이번 정책이 단순 보안대책을 넘어 금융산업 전반의 AI 전환 속도를 높이는 신호탄이 될 가능성에 주목하고 있다.

다만 망분리 완화가 실제로 보안 안정성과 혁신 사이 균형을 유지할 수 있을지, 그리고 대형 금융사 중심으로 혜택이 집중될 가능성은 없는지에 대한 논의는 앞으로 계속 이어질 전망이다.

dedanhi@newspim.com