[정보통신신문=서유덕기자]

정부가 금융 분야의 망분리 규제를 완화한다. 인공지능(AI)에 의한 고도화된 보안 위협에 대응할 역량을 갖추고, AI 전환을 통해 금융 업무의 생산성을 높인다는 전략이다.

지난 22일 금융보안원에서 열린 ‘고성능 AI 관련 금융권 보안위협 대응 간담회’에서 금융 당국과 주요 금융사 및 AI·보안 업계는 이 같은 내용의 제도 개선 방안을 논의했다.

최근 미국 생성형 AI 기업 앤트로픽의 미공개 모델인 미토스 등 고성능 AI가 해킹 등 보안 위협에 악용돼 심각한 피해를 초래할 수 있다는 불안감이 조성된 바 있다. 동시에 고성능 AI를 활용함으로써 사이버 보안 역량을 대폭 강화할 수 있다는 주장도 제기된다.

이에 금융 당국은 고성능 AI를 활용한 취약점 확인, 서비스형 소프트웨어(SaaS)를 통한 방어시스템 구축 등 보안 목적의 AI 활용을 지원하기 위해 금융권의 망분리 규제를 손질한다는 방침이다.

현재 금융권에는 업무용 시스템과 전산실 내 정보처리체계를 인터넷 등 외부 통신망과 분리·차단해야 하는 망분리 규제가 적용되고 있다. 이는 민감 정보를 다수 처리하는 금융사 내부 시스템이 외부 환경에 노출되는 잠재적인 공격 표면을 최소화하기 위함이다.

그러나 고성능 AI를 활용해 취약점을 탐지·방어하는 ‘AI 기반 보안’을 도입하는 데 제약 요인으로 작용한다는 지적이 있었다.

금융 당국은 우선 총자산 10조원 이상, 상시종업원 수 1000명 이상인 금융사로서 전담 정보보호최고책임자(CISO)를 둔 경우 망분리 규제 완화 신청 자격을 부여한다.

신청한 금융사에 대해서는 보안관리 역량, AI 활용 능력 등에 대한 전문가 평가 등을 바탕으로 금융위원회 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 한시적으로 망분리 규제를 완화한다.

완화된 규제를 적용받는 금융사는 보안 목적으로만 AI·SaaS를 활용하고, 망분리 규제 완화를 보완하는 일정한 보안규율을 준수해야 한다. 또한 테스트 결과 확인된 고성능 AI 보안 위험성의 특성, 공격 시 예상되는 위험성, 효과적인 방어를 위한 대응 요령 등을 정부에 보고해야 한다.

금융 당국은 6~7월 중 10개사 이내 금융사를 대상으로 1회차 신청 접수·심사를 진행하고, 8~9월과 4분기 중 2·3회차 신청을 진행한다는 계획이다.

한편, 고도의 보안·AI 역량을 갖춘 금융사를 대상으로 망분리 규제를 전면 해제하는 방안도 검토·추진한다. 금융사의 업무·조직·서비스 전반을 AI 기반으로 전환하는 체질 개선이 필요한 상황인데, 현재 망분리 완화 속도로는 AI 전환 흐름을 따라가기 벅차다는 판단에서다.

다만 모든 금융사에 고수준의 보안·AI 역량을 기대하기는 어려운 현실을 고려해 월등한 역량을 갖춘 금융사부터 규제를 완화한다는 계획이다.

선별된 금융사는 AI 보안체계를 전면 구축하고 챗봇 상담, 자산관리, 여신 심사, 기업금융, 내부통제 등 금융서비스에 AI를 활용할 기회를 얻게 된다.

이밖에 중소 금융기술(핀테크) 기업에 대해서는 금융보안원을 통해 AI 위험 관리체계 수립, 취약점 점검도구 등을 지원한다.

권대영 금융위원회 부위원장은 “고성능 AI 보안 위협은 완전히 차단할 수 있는 대상이 아니라 감기 바이러스처럼 함께 살아가면서 관리해야 할 문제”라며 “금융권은 마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생을 습관화해야 한다”면서 상시적·전사적 AI 보안 역량 강화에 나설 것을 금융권에 주문했다.

이어 “금융 AI 전환은 단순한 기술 도입을 넘어 금융서비스의 근본적인 체질 개선을 의미한다”며 “정부도 생산적·포용적·신뢰 금융을 위한 AI 활용이 가능하도록 제도를 과감하게 개선해 나가겠다”고 전했다.