 |
| ▲ 금융위원회 |
[뉴스서울] 금융위원회는 5월 22일 권대영 금융위원회 부위원장 주재로 AI·보안분야 전문가, 은행·증권·카드 등 주요 금융회사 정보보호최고책임자가 참석하는 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 개최했다.
금번 간담회는 최근 이슈화된 '미토스' 등 고성능 AI로 인한 보안위협 상황을 진단하면서, 금융회사들이 AX 대전환 시기의 새로운 보안위협에 효과적으로 대응하고 생산적·혁신적인 금융서비스 제공을 위해 AI를 적극적으로 활용할 수 있도록 하는 제도 개선 방안을 심도있게 논의했다.
美 앤트로픽社의 '미토스' AI가 사이버보안 부문에서 탁월한 성능을 보이는 것으로 알려지면서 고성능 AI가 보안분야, 특히 해킹에 악용될 경우에 대한 불안감이 조성되고 있다. '미토스' 등 고성능 AI는 기존의 취약점 탐색 프로그램으로 찾기 어려웠던 오래된 보안 취약점까지 손쉽게 찾아낼 수 있는 것은 물론이고 스스로 해킹 공격을 기획·실행할 수 있는 능력까지 갖출 수 있는 것으로 알려졌다.
반면, 고성능 AI가 사이버 보안역량을 획기적으로 개선할 수 있다는 시각도 상당하다. 취약점 탐지·분석, 침해위협 등을 감지·차단하는 등 ‘방어’ 용도로 활용될 경우 과거 인적자원이 투입되던 경우에 비해 훨씬 효과적인 보안관리가 가능하다는 의견도 제기되고 있다.
금융위원회는 '미토스' 이슈가 제기된 4월부터 총 6회에 걸쳐 금융업권·보안전문가 등과 긴밀한 소통을 거치며 고성능 AI 보안위협에 대응하기 위한 금융권 대응방안을 논의해왔다.
금융회사들은 새로운 보안 위협에 대비해 자체적인 노력을 강화하고 있다고 설명하면서도, 정책 당국에 아래 사항을 요청한 바 있다.
민간 금융회사가 개별적으로는 '미토스'와 관련한 국제적 논의 동향이나 고성능 AI 보안 위협의 구체적인 내용, 보안 강화를 위한 대응 요령 등을 쉽게 알 수 없는 만큼, 금융위원회·금융감독원·금융보안원 등 공공부문에서 정확하고 신속하게 관련 정보를 제공해줄 것을 주문했다.
국내 금융회사는 해외와 달리 업무용 시스템·전산실 내 정보처리시스템을 인터넷 등 외부 통신망과 분리·차단해야 하는 망분리 규제가 적용된다.(전자금융감독규정 제15조제1항제3호·제5호)
망분리 규제는 금융회사의 정보처리를 위한 시스템이 외부 환경에 노출되는 잠재적인 공격 표면(Attack Surface)을 최소화하는 데는 유리하지만, 고성능 AI 등을 활용해 취약점을 탐지하거나 방어시스템을 구축하는 “AI 기반 보안 시스템” 마련이 원천적으로 제한되는 한계가 있다.
고성능 AI가 본격적으로 보안부문, 특히 해킹 공격 등에 활용되는 경우, 인적 개입이 전제가 된 기존의 망분리 규제 기반 보안체계의 대응범위와 속도를 월등히 뛰어넘을 수 있는 만큼, 고성능 AI를 “방어 목적”으로 활용하기 위한 과감한 규제개선이 필요하다는 의견이 상당수 제기됐다.
아울러 현재도 '금융분야 망분리 규제개선 로드맵'에 따라 단계적으로 규제완화가 이루어지고 있지만, AX 전환기에 금융회사가 생산적·혁신적인 AI 기술로 무장하기 위해서는 보다 속도감 있는 규제 개선이 필요하다는 의견도 다수 제기됐다.
중소형 금융회사 등의 경우에는 AI 보안위협에 대응하기 위한 구체적 행동요령·가이드라인이 필요하다는 목소리가 많았다.
특히, 보안패치를 시스템에 적용하는 과정에서 전산시스템 오류 등이 발생하는 경우 제재 가능성에 대한 부담이 있는 만큼 시급한 보안패치부터 적용할 수 있도록 우선순위를 알려주고, 부득이한 전산오류 등에 대해서는 제재를 감경·면책할 수 있는 방안도 필요하다는 의견이다.
금융위원회는 금융회사들이 AX 전환기에 고성능 AI 보안위협에 효과적으로 대응하고, 나아가 생산적·혁신적 금융서비스 공급 등을 위해 AI를 적극 활용할 수 있도록 다음과 같은 방안을 적극 추진한다.
금융위원회는 과기부·외교부 등 관계부처와 적극 협업하여 다양한 고성능 AI와 관련한 국제 논의동향을 확인하고, 이러한 AI 서비스가 사이버보안 방어 목적으로 효과적으로 사용될 수 있도록 다양한 채널을 활용해 논의를 진행 중에 있다.
이러한 과정에서 파악한 명확한 사실이나, 보안 강화를 위해 금융회사에 필요한 조치 등은 금융권과의 다양한 소통채널 등을 통해 적극적으로 전달해 나갈 계획이다.
고성능AI를 활용한 취약점 확인, 보안 SaaS 솔루션을 통한 방어시스템 구축 등 보안목적 AI 활용에 대해서 망분리 규제완화를 신속히 추진한다.
망분리 규제가 전격 완화되는 만큼 신청자격은 일정한 보안역량을 갖춘 금융회사로 한정한다. 구체적으로, 일정한 규모(총자산 10조원 이상), 종업원수 (상시종업원수 1,000명 이상)를 갖추어 전자금융거래법에 따라 전담 CISO를 두도록 규율받는 49개 금융회사가 신청할 수 있다.
신청한 금융회사에 대해서는 보안관리 역량, AI활용 능력 등에 대한 전문가 평가 등을 바탕으로 금융위원회 보고, 비조치의견서 발급 등 절차를 거쳐서 한시적(1년간)으로 망분리 규제가 완화된다.
망분리 규제 완화를 적용받은 금융회사는 고성능 AI를 활용한 취약점 테스트, 보안SaaS 솔루션 사용 등 보안목적으로 AI·SaaS를 활용하되, 망분리 규제 완화를 보완하는 일정한 보안규율을 준수하여야 하며, 테스트결과 확인된 고성능 AI 보안위험성의 특성, 공격용도 활용시 예상되는 위험성, 효과적인 방어를 위한 대응요령 등 정보를 정부에 보고하여야 한다. 정부는 해당 정보를 全 금융권 사이버보안 강화를 위한 가이드라인 구체화 등을 위해 적극적으로 활용할 예정이다.
금융회사 신청접수·심사는 효율적인 심사진행 등을 위해 1∼3회차로 나누어 진행한다. 고성능 AI 보안위협에 대한 시급한 대응 필요성 등을 감안하여, 1회차는 테스트 준비상황, 보안관리 역량 등을 고려하여 10개사 이내 금융회사에 한정해 6~7월 중 마무리되도록 조속히 절차를 진행한다.
2회차는 추가 신청회사 및 보완 준비가 필요한 금융회사 등을 포함해 10∼20개사를 목표로 8∼9월 중에 추진하고, 3회차는 나머지 신청수요 등을 감안하여 4분기 중에 이뤄지도록 할 계획이다.
아울러, 상기 프로그램을 신청하지 않은 금융회사 등에 대해서는 금융보안원을 통해 망분리 규제 완화 조치가 필요없는 “외부 공격표면 대상” AI 취약점 점검 등도 지원할 계획이다. (7월까지 최대 17개사)
고도의 보안역량과 AI 활용능력을 갖춘 금융회사에 대해서는 기획형 혁신금융서비스 등 절차를 통해 망분리 규제를 전면 해제하는 방안도 검토·추진할 계획이다.
현재와 같은 망분리 완화 속도로는 급변하는 AX 전환 속에서 금융권이 뒤처질 수 있다. 이에 금융회사의 업무·조직·서비스 전반을 AI 기반으로 전환하는 체질 개선이 필요한 상황이다. 다만, 모든 금융회사에 대해 동일한 수준의 보안역량과 AI 활용역량을 기대하기는 어려운 만큼, AI 역량을 갖춘 금융회사부터 과감하게 규제 완화를 허용해 성공사례를 축적하고 이를 금융권 전반으로 단계적으로 확산할 필요가 있다.
AI·보안분야 전문가 등의 면밀한 심사를 통해 고도의 보안역량, AI 활용능력, 망분리 대체 보안조치 등 다각도에서 월등한 역량을 갖춘 금융회사를 선별해 추진할 계획이며, 선별된 금융회사는 他 금융회사에 앞서 전면적·체계적인 AI 보안체계 구축과 금융회사의 생산성 향상을 위한 챗봇상담·자산관리, 여신심사, 기업금융, 내부통제 등 다양하고 혁신적인 금융서비스 마련에 AI를 폭넓게 활용하는 기회를 가질 수 있다.
망분리 완화 등 주요 정책 판단을 위한 전문적인 정책자문과 금융권 현장 애로사항·정책과제 건의 등을 밀도있게 수렴하기 위한 협의채널을 구축한다.
'민간 기술자문단'은 AI·보안·정보보호 등 분야에 정통한 학계·보안업계·전문가로 구성할 계획이며 망분리 완화 추진과정에서의 금융사 보안역량·준비상황 등에 대한 평가, 고성능 AI 보안위협과 관련한 국내외 논의동향 및 대응과제 등 다양한 영역에서 심도있는 정책자문을 수행토록 할 예정이다.
'고성능 AI 보안위협 금융권 상황대응반'은 금융권 현장의 대응상황 점검과 애로사항 청취를 위해 금융위·금감원·금보원 및 全 업권 CISO 등으로 지난 4월 구성됐다. 이를 상시·수시 개최하여 고성능AI 사이버보안 위협과관련한 정부-금융권 간 긴밀한 소통창구로 활용해 나갈 계획이다.
AI 보안위협에 대한 효과적·종합적 대응과 중소형 금융회사 등의 애로사항 청취 등을 위해 금융보안원의 AI 지원 기능 대대적인 강화도 추진한다.
그간 금융분야에서 침해사고 대응 등 보안업무를 수행해 온 금융보안원은 축적된 보안 전문성을 바탕으로, AI 기반 사이버공격 등 새로운 보안 위협의 최신 동향을 신속히 탐지·파악하고 효과적으로 대응할 수 있도록'금융 AI보안연구소'를 신설할 계획이다.
또한, 고도화되는 AI 기반 보안위협에 자체적으로 대응하기 어려운 금융회사 등을 위해 AI 기술·위협 동향 공유, 대응방안 제공, AI 취약점 점검 등 다각적인 지원을 할 수 있도록'AI보안 지원센터'도 마련한다.
금융회사가 고성능 AI를 체계적이고 안전하게 활용할 수 있도록 2026년 6월 중으로 AI 보안 가이드라인을 마련한다.
가이드라인에는 금융회사가 IT자산 관리체계를 스스로 점검·보완할 수 있도록 전산자원 분류기준, 프로그램 패치 우선순위 등 실무기준을 포함할 예정이다. 아울러, 금융회사의 IT자산관리 역량 강화를 위해 현장지원과 설명회 등 맞춤형 지원도 병행한다.
나아가, 적극적인 보안패치 등 보안강화 등을 위한 조치과정에서 불가피하게 발생한 경미한 전산시스템 장애에 대해서는 신속한 복구 및 소비자 보호조치를 전제로 제재 감경·면책도 추진할 계획이다.
중소형 핀테크 기업에 대해서도 보안체계 강화 지원을 추진한다.
AI를 활용한 보안점검 비용 지원, 취약점 점검 도구 제공 등을 통해 상대적으로 보안대응 여력이 부족한 핀테크 기업의 보안역량 제고를 적극 뒷받침해 나갈 것이다.
권대영 금융위원회 부위원장은 “고성능 AI 보안위협은 감기 바이러스와 같아서, 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협이다”고 언급하면서, “마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생(Cyber Hygiene)이 금융권이 갖춰야 할 보안 습관”이라 강조하고, “금융권이 상시적으로 전사적인 AI 보안 역량 강화에 나서줄 것”을 주문했다.
아울러, “금융 AX 대전환은 단순한 기술 도입을 넘어 금융서비스의 근본적인 체질 개선을 의미한다”고 언급하며, “금융권은 AX 전환에 적극적으로 임하여 주시길 바라며, 정부도 생산적·포용적·신뢰 금융을 위한 AI 활용이 가능하도록 과감한 제도개선을 해나가겠다”고 강조했다.
[ⓒ 뉴스서울. 무단전재-재배포 금지]
