10년 묵은 망분리 규제…샌드박스 통한 특례로 규제완화
AI 활용 특화보험상품 출시…중금리대출 확대 효과도 기대
부정거래나 신종사기도 AI로 잡아내…소비자 보호 강화
[서울=뉴시스] 김형섭 기자 = 금융권의 오랜 숙원이었던 망분리 규제완화 로드맵이 나왔다. 빠르면 올해 말부터 금융권에서도 생성형 인공지능(AI) 활용이 가능해질 전망이다.
금융위원회는 13일 경기 김포 KB국민은행 통합IT센터에서 김병환 금융위원장 주재로 민간 보안 전문가들과 금융협회, 금융감독원, 금융보안원 등 유관기관이 참여한 가운데 행사를 열어 이같은 내용의 '금융분야 망분리 개선 로드맵'을 발표했다.
망분리 규제는 외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종이다.
지난 2013년 대규모 금융전산사고를 계기로 금융부문에 망분리 규제가 도입됐고 2014년 말 금융회사와 전자금융업자 등에 대해 내부망에 연결된 전산시스템이나 단말기를 외부망과 물리적으로 분리해 접속을 제한토록 하는 물리적 망분리가 채택됐다.
망분리 규제는 도입 이후 랜섬웨어 등 해킹으로부터 금융시스템을 안전하게 보호하는데 기여했지만 금융권의 클라우드, AI 등 신기술 채택에 장애물로 작용한다는 지적도 제기돼 왔다.
김 위원장은 "그간 망분리라는 우산 속에서 각종 보안 위협을 피할 수 있었지만 클라우드, AI 등 급변하는 IT 환경 하에서 일률적인 망분리 의무화 정책은 우리나라에만 존재하는 대표적인 '갈라파고스 규제'로서 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받고 있다"고 말했다.
금융위원회는 13일 경기 김포 KB국민은행 통합IT센터에서 김병환 금융위원장 주재로 민간 보안 전문가들과 금융협회, 금융감독원, 금융보안원 등 유관기관이 참여한 가운데 행사를 열어 이같은 내용의 '금융분야 망분리 개선 로드맵'을 발표했다.
망분리 규제는 외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안기법의 일종이다.
지난 2013년 대규모 금융전산사고를 계기로 금융부문에 망분리 규제가 도입됐고 2014년 말 금융회사와 전자금융업자 등에 대해 내부망에 연결된 전산시스템이나 단말기를 외부망과 물리적으로 분리해 접속을 제한토록 하는 물리적 망분리가 채택됐다.
망분리 규제는 도입 이후 랜섬웨어 등 해킹으로부터 금융시스템을 안전하게 보호하는데 기여했지만 금융권의 클라우드, AI 등 신기술 채택에 장애물로 작용한다는 지적도 제기돼 왔다.
김 위원장은 "그간 망분리라는 우산 속에서 각종 보안 위협을 피할 수 있었지만 클라우드, AI 등 급변하는 IT 환경 하에서 일률적인 망분리 의무화 정책은 우리나라에만 존재하는 대표적인 '갈라파고스 규제'로서 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받고 있다"고 말했다.
금융위가 발표한 로드맵에 따르면 망분리 규제완화는 충분한 안전장치를 전제로 단계적으로 진행된다. 현행 금융권의 보안체계가 오랜 기간 외부통신과의 망분리 환경을 전제로 구성돼 온 점을 고려한 것이다.
1단계로 급격한 IT 환경 변화 때문에 신속한 대응이 필요한 과제의 경우 샌드박스를 활용한 즉각적인 규제 완화가 이뤄진다.
대표적인 게 생성형 AI의 금융권 도입이다. 대부분의 생성형 AI는 클라우드 기반의 인터넷 환경에서 제공되고 있는데 국내 금융권은 망분리 규제 때문에 그동안 생성형 AI 도입에 제약이 있었다.
금융위는 샌드박스를 통해 인터넷 활용 제한 등에 규제 특례를 부여함으로써 국내 금융회사의 생성형 AI 활용을 허용할 예정이다. 대신 예상되는 리스크에 대한 보안대책을 조건으로 규제 특례를 부여하고 금감원과 금융보안원이 샌드박스 신청 기업별로 보안 점검 및 컨설팅을 실시하는 등 충분한 안전장치를 마련할 계획이다.
클라우드 기반의 응용 프로그램(SaaS·서비스형 소프트웨어) 이용 범위도 대폭 확대된다.
기존에는 문서관리, 인사관리 등 비(非)중요 업무에 대해서만 SaaS 이용이 허용됐다. 앞으로는 보안관리, 고객관리(CRM) 등의 업무까지 SaaS 이용 범위를 확대하고 가명정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용할 예정이다.
생성형 AI와 마찬가지로 규제 특례 확대에 따른 보안 우려에 대응하기 위해 샌드박스 지정 조건으로 보안대책을 부과할 계획이다.
다음 단계에서는 가명정보 활용을 허용한 1단계 샌드박스에서 운영 성과와 안전성이 충분히 검증된 과제를 제도화하고 2단계 샌드박스로 금융회사가 활용 가능한 데이터 범위를 가명정보가 아닌 개인신용정보로 넓히는 규제 특례의 고도화도 추진한다.
중장기적으로는 샌드박스 운영 경험을 토대로 한 금융보안체계의 선진화도 추진한다. 가칭 '디지털금융보안법'을 제정해 '자율보안-결과책임' 원칙에 입각한 새로운 금융보안체계를 구축한다는 구상이다.
법령에서 보안 원칙과 목표를 제시하고 금융회사는 자율적으로 세부 보안 통제를 구성하되 전산사고 발생시 과징금과 배상책임은 강화하고 중요 보안사항에 대해서는 최고경영자(CEO) 및 이사회의 내부 책임을 확대하는 체계다.
금융위는 이번 망분리 규제 완화를 통해 AI와 클라우드 기반의 업무 자동화 및 경영관리 등으로 금융산업 전반의 경쟁력이 제고될 것으로 기대하고 있다.
또 생성형 AI를 활용한 데이터 분석과 예측 모델 고도화로 다양한 특화 보험상품이 개발되고 신용평가모델 고도화를 통한 중금리 대출이 확대되는 등 금융 사각지대 해소에도 도움이 될 것으로 전망하고 있다.
금융권은 생성형 AI를 활용한 이상금융거래탐지시스템(FDS) 고도화를 통해 각종 부정거래나 신종사기를 보다 효과적으로 차단함으로써 금융소비자 보호가 강화되는 것도 기대하고 있다.
김 위원장은 "망분리 의무화 규정은 그동안 금융권의 IT 자산을 보호하는 중요한 역할을 해왔지만 이제는 그 시대적 소임을 다했다고 생각한다"며 "10년 넘게 유지돼 온 규제를 어렵게 개선하는 것인 만큼 금융업권은 보안사고 예방에 만전을 기하고 변화된 환경에 부합하는 새로운 고객서비스가 제공될 수 있도록 노력해 주기 바란다"고 당부했다.
금융당국은 이달 22일 전 업권 업무 설명회를 시작으로 9월까지 각 업권별 설명회 등을 열어 망분리 규제완화 관련 샌드박스 신청 컨설팅을 제공한다.
이어 9월 중으로 규제샌드박스 신청을 접수받아 연내 신규 과제에 대한 혁신 금융서비스를 지정할 방침이다. 이 경우 빠르면 올해 말부터 금융권에서도 생성형 AI 활용이 가능해 질 것으로 예상된다.
◎공감언론 뉴시스 [email protected]