[서울=뉴시스] 최홍 기자 = 고성능 인공지능(AI)의 출현으로 국내 금융권의 보안 시스템이 해킹될 수 있다는 우려가 커지는 가운데, 금융당국이 보안 위협을 선제적으로 파악하고 AI 기반 보안 시스템을 구축하는 금융회사에 대해 망분리 규제를 대폭 완화하기로 했다.

금융위원회는 권대영 부위원장 주재로 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 개최하고 이 같은 대책을 24일 발표했다.

이번 간담회는 미국 앤트로픽사의 '미토스(Mythos)' 등 고성능 AI가 가져올 사이버 보안 위협 상황을 진단하고, AI 대전환(AX) 시기에 맞춰 새로운 보안 위협에 효과적으로 대응하기 위해 마련됐다. 현장에는 금융위, 금융감독원, 금융보안원을 비롯해 AI·보안 전문가, 주요 금융사의 정보보호최고책임자(CISO)들이 대거 참석했다.

◆금융권 "방어용 AI 위해 망분리 규제 개선해달라"

최근 글로벌 시장에서 사이버 보안 부문 탁월한 성능을 입증한 고성능 AI가 금융권 해킹 범죄에 악용될 수 있다는 우려가 빠르게 확산하고 있다.

이런 고성능 AI는 기존 취약점 탐색 프로그램으로 찾아내기 어려웠던 보안 약점까지 손쉽게 포착할 뿐 아니라, 스스로 해킹 공격을 기획하고 실행하는 능력까지 갖춘 것으로 알려졌다.

이에 금융사들은 금융당국에 보안 강화를 위한 규제 개선을 지속적으로 건의해 왔다. 민관의 정보 공유를 확대하는 한편, AI의 공격을 AI로 방어하는 시스템을 구축할 수 있도록 망분리 규제를 개선해 달라고 요구했다.

특히 중소형 금융사의 경우 보안 패치를 적용하는 과정에서 부득이하게 전산시스템 오류가 발생하면 당국의 엄중한 제재를 받을 수 있어 적극적인 보안 조치에 나서지 못했다. 이에 패치 우선 순위를 알려주고 전산 오류에 대한 제재를 감경하거나 면책해 줄 것을 요청했다.

◆자산 10조·직원 1000명 이상 49개사가 규제완화 대상

금융위는 과학기술정보통신부, 외교부 등 관계부처와 협업해 국제적인 AI 보안 논의 동향을 파악하고, 고성능 AI 서비스를 사이버 보안 방어 목적으로 효과적으로 활용할 수 있도록 다각적인 조치에 착수했다.

핵심은 'AI 공격을 AI로 방어하는 보안 체계'의 신속한 구축이다. 고성능 AI로 자체 취약점을 점검하고 보안 SaaS(서비스형 소프트웨어) 솔루션으로 방어시스템을 구축하는 등 '보안 목적의 AI 활용'에 한해 망분리 규제 완화를 추진한다.

신청 자격은 전자금융거래법에 따라 전담 CISO를 의무적으로 둬야 하는 총자산 10조원 이상, 상시 종업원 수 1000명 이상의 49개 대형 금융회사가 대상이다.

당국은 신청 금융사의 보안 관리 역량과 AI 활용 능력에 대한 전문가 평가를 거쳐 비조치의견서 발급 등의 절차를 통해 1년간 한시적으로 망분리 규제를 완화할 계획이다.

규제 완화를 적용받는 금융사는 고성능 AI를 활용한 취약점 테스트와 보안 SaaS 솔루션 도입 등 보안 목적으로 AI를 활용할 수 있게 된다. 그 대신 망분리 완화에 따른 리스크를 보완할 수 있도록 제시된 보안 규율을 준수해야 한다.

또 테스트 결과 확인된 고성능 AI의 보안 위험성 특성과 공격시 예상되는 위험도, 효과적인 방어 요령 등의 정보를 정부에 의무적으로 보고해야 한다. 당국은 이 데이터를 취합해 전 금융권의 사이버 보안 가이드라인을 구체화하는 데 활용할 방침이다.

금융위는 신청 접수와 심사를 총 3회차로 나눠 진행한다. 1회차는 테스트 준비 상황과 보안 역량을 고려해 10개사 이내로 한정해 오는 6~7월 중 심사를 마무리한다. 2회차는 10~20개사를 목표로 8~9월 중에, 3회차는 나머지 신청 수요를 고려해 4분기 중 추진할 예정이다.

◆보안 역량 갖추면 규제 전면 해제…'금융 AI보안연구소' 신설

고도의 보안 역량과 AI 활용 능력을 증명한 금융사에 대해서는 '기획형 혁신금융서비스' 지정 등의 절차를 통해 망분리 규제를 전면 해제한다. 전문가 심사를 거쳐 망분리 대체 보안 조치 등 다각도에서 월등한 역량을 갖춘 것으로 공인된 금융사들만 엄선할 계획이다.

규제가 전면 해제된 금융사는 체계적인 AI 보안체계를 완비함과 동시에, 챗봇 상담, 인공지능 자산관리, 여신 심사, 기업 금융, 내부통제 등 다양한 영역의 혁신 금융서비스에 AI를 전면적으로 접목할 수 있는 기회를 선점하게 된다.

이를 뒷받침하기 위해 전문적인 정책 자문과 금융 현장의 애로사항을 상시 수렴할 협의 채널도 가동된다.

학계와 보안업계 전문가들로 구성된 '민간 기술자문단'이 금융사의 보안 역량 평가와 국내외 논의 동향 대응을 자문하며, 지난달 출범한 '고성능 AI 보안위협 금융권 상황대응반'을 상시 개최해 소통 창구로 삼을 예정이다.

금융보안원의 AI 지원 기능을 대대적으로 강화해, 최신 사이버 공격 동향을 신속히 탐지하는 '금융 AI보안연구소'를 신설한다. 이와 함께 AI 기술 동향 공유와 취약점 점검을 전담할 'AI보안 지원센터'도 설립한다.

금융사가 고성능 AI를 안전하게 다룰 수 있도록 다음달 중 'AI 보안 가이드라인'도 마련한다. 여기에는 금융사가 IT 자산 관리체계를 스스로 점검할 수 있도록 전산 자원 분류 기준과 프로그램 패치 우선순위 등 구체적인 실무 기준이 담긴다. 맞춤형 현장 지원과 설명회도 병행된다.

보안 패치 등 적법한 보안 강화 조치를 이행하는 과정에서 불가피하게 발생한 경미한 전산시스템 장애에 대해서는 신속한 복구와 소비자 보호 조치를 전제로 당국의 제재를 감경하거나 면책해 줄 방침이다.

아울러 보안 대응 여력이 부족한 중소형 핀테크 기업을 위해서는 AI 보안 점검 비용을 지원하고 취약점 점검 도구를 제공하는 등 조치도 함께 추진한다.

권대영 금융위 부위원장은 "고성능 AI 보안 위협은 감기 바이러스와 같아서 완전히 차단할 수 있는 대상이 아니라 함께 살아가며 통제해야 할 위험"이라며 "마스크를 쓰듯 AI 방어 체계를 갖추는 일상적인 '사이버 위생'은 금융권이 갖춰야 할 필수 습관이다. 금융권이 상시적이고 전사적인 AI 보안 역량 강화에 나서달라"고 당부했다.


◎공감언론 뉴시스 hog8888@newsis.com