AI 보안테스트 중 장애 나도 제재 면책…금융권 방어 훈련 늘린다
![금융위원회. [출처=연합]](https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/02/552778-MxRVZOo/20260702070946585phre.jpg)
금융회사가 인공지능(AI) 보안테스트나 보안패치 과정에서 경미한 전산장애를 내더라도 앞으로는 제재를 일부 면제받을 수 있게 된다. 프론티어 AI 확산으로 사이버 공격 수법이 고도화되는 가운데, 금융권이 제재 부담 때문에 보안 점검과 취약점 보완을 미루지 않도록 하겠다는 취지다.
금융위원회는 지난달 30일 면책심의위원회를 열고 'AI 보안테스트·보안패치 과정 발생 전산장애에 대한 면책 조치'를 의결했다고 2일 밝혔다. 금융위는 금융권을 대상으로 '프론티어 AI 보안 위협 금융 분야 대응 요령' 가이드라인도 함께 배포했다.
이번 조치에 따라 금융회사가 보안 목적의 AI를 활용해 시스템을 테스트하거나, 금융위·금융감독원·금융보안원 등이 전파한 보안 취약점에 대응해 패치를 실행하다 전산장애를 일으킨 경우 제재 대상에서 제외될 수 있다. 기관이나 임직원에 대한 신분 제재, 과태료 부과 등 행정 제재 부담을 덜어주는 방식이다.
금융당국이 면책 카드를 꺼낸 것은 AI를 활용한 사이버 위협이 빠르게 커지고 있기 때문이다. 최첨단 AI 모델인 '미토스' 등 프론티어 AI가 등장하면서 공격자는 기존보다 정교한 방식으로 취약점을 찾고 침투 경로를 만들 수 있게 됐다. 금융권도 이에 맞춰 AI 기반 보안 점검과 방어 자동화를 확대해야 하지만, 테스트 과정에서 작은 장애가 나도 제재를 받을 수 있다는 부담이 걸림돌로 지적돼왔다.
다만 모든 전산장애가 면책되는 것은 아니다. 금융위는 면책 대상을 고의성이 없는 경미한 사고로 제한했다. 금전 피해가 1억원 미만이고, 시스템 장애가 4시간 이하이며, 고객정보 유출 규모가 1만건 미만인 경우 등이 기준이다. 중대한 사고나 관리 부실까지 덮어주는 조치는 아니라는 뜻이다.
금융회사도 사전 절차를 갖춰야 한다. 보안테스트나 패치를 하기 전에 작업 계획서를 마련하고, 사전 테스트와 피해 확산 방지 방안을 준비해야 한다. 장애가 발생하면 신속히 복구하고 소비자 보호 조치도 이행해야 한다. 이런 요건을 충족해야 면책을 받을 수 있다.
개인신용정보 유출 사고는 이번 면책 조치에서 제외된다. 신용정보법상 개인신용정보가 유출된 사고는 별도 규율 대상인 만큼, AI 보안 대응 과정에서 발생했더라도 면책을 적용하지 않겠다는 것이다. 금융권의 보안 대응을 독려하되 소비자 정보 보호 원칙은 유지하겠다는 취지로 풀이된다.
금융위가 배포한 가이드라인은 6개 분야로 구성됐다. 경영진 책임 강화, 취약점 및 패치 관리, 자산·공급망 관리, AI 기반 방어 자동화, 금융권 공동 대응 및 복원력 강화, 침해 확산 방지 체계가 포함됐다. 금융회사가 AI 보안 위협을 단순 전산부서 문제가 아니라 경영 차원의 위험 관리 사안으로 다뤄야 한다는 메시지가 담겼다.
이번 조치는 금융권 AI 활용 확대와도 맞물려 있다. 금융당국은 앞으로 프론티어 AI와 관련한 국내외 상황 변화를 반영해 가이드라인을 보완할 계획이다. 망분리 규제 전면 해제 등을 포함해 금융권의 AI 전환을 지원하겠다는 방침도 밝혔다.
금융위는 "프론티어 AI와 관련한 국내외 상황 변화를 반영해 유연하고 신속하게 가이드라인을 보완해 나가겠다"며 "망분리 규제 전면 해제 등을 포함해 금융권 AI 대전환을 지원하겠다"고 밝혔다.
Copyright © EBN