금융권 망분리 규제 단계적 완화…보안 강화 없이는 ‘공염불’

2013년 전산망 마비 계기 도입
IT 접목 어렵고 업무 비효율 ↑
은행서도 생성형 AI 활용 가능
‘금융보안법’ 등 책임 강화 병행
전문가 “IT 보안 투자 늘려야”

금융회사 내부 전산망의 인터넷 연결을 막는 금융권 망분리 규제가 단계적으로 완화된다. 이르면 올해 말부터 국내 금융사도 챗GPT 등 생성형 인공지능(AI)을 업무에 활용할 수 있고, 클라우드와 연결된 소프트웨어(SaaS)도 폭넓게 사용할 수 있다. 전문가들은 보안 강화에 대한 금융회사의 투자와 책임을 촉진하는 정책이 선행돼야 망분리 규제 완화가 실효를 거둘 수 있다고 지적했다.

금융위원회는 13일 이 같은 내용을 담은 ‘금융분야 망분리 개선 로드맵’을 발표했다. 2013년 금융사의 대규모 전산망 마비를 계기로 망분리 규제를 도입한 이후 10년 만에 나온 본격 개선책이다. 망분리는 해킹 등 외부 공격으로부터 금융사 내부 전산망을 보호하기 위해 내부망과 외부망을 분리하는 네트워크 보안 정책을 말한다. 이 규제로 인해, 금융사들은 내부 전산망과 단말기를 인터넷과 연결되는 외부망과 물리적으로 분리해왔다. 일례로 은행 창구 직원의 컴퓨터로는 외부 인터넷 접속이 불가능하다.

업계에서는 보안을 명분으로 도입된 망분리 규제가 금융권을 발전이 어려운 ‘갈라파고스’로 만들고 있다고 지적해왔다. 망분리로 정보기술(IT) 서비스와 금융보안의 연구·개발이 어렵고, 업무 비효율도 늘어난다는 것이다.

이에 금융당국은 샌드박스를 통해 당장의 규제 애로를 해소하고 별도의 보안대책을 부과하는 방식으로 완화에 나선다.

일단 샌드박스에 지정된 금융사 내부 전산망의 인터넷 활용 제한을 일부 풀어 생성형 AI 활용을 허용한다. 이전까지 비중요 업무에만 허용됐던 SaaS 이용 범위를 보안·고객관리까지 넓히고 모바일 단말기 사용도 허용한다. 또 가명화된 개인신용정보는 생성형 AI나 SaaS를 활용해 처리할 수 있도록 했다. 다만 샌드박스 지정을 위해 금융사는 보안 우려에 대한 대책을 마련해야 하며, 오픈AI 등 해외 사업자가 금융사·당국의 검사·감사에 협조할 의무가 있음을 계약 시 반영해야 한다.

금융위는 다음달 규제 샌드박스 신청을 받기 시작해 연내에 혁신 금융서비스를 지정한다. 1단계 샌드박스의 성과와 안전성이 검증되면 내년에는 2단계 샌드박스를 추진해 가명처리되지 않은 개인신용정보까지 처리할 수 있도록 할 예정이다. 중장기적으로는 ‘디지털 금융보안법’을 제정, 보안을 자율적으로 맡기되 결과에 대해서는 과징금 등 강화된 책임을 묻는 자율규제 체계를 구축한다는 방침이다.

금융권에서는 이 같은 로드맵의 효과성을 판단하기에는 이르다는 반응이 나온다. 방향성은 나왔지만 구체성이 떨어진다는 것이다. 한 금융권 관계자는 “금융사가 가명화된 데이터를 실질적으로 활용할 수 있도록 지원하는 정책적 뒷받침이 필요하다”고 했다.

전문가들은 자칫 보안 약화로 이어질 수 있는 망분리 규제 완화가 실효성을 가지려면, 금융사들이 자체적으로 IT 보안에 대한 투자를 늘리고 보안 사고에 대한 책임을 확실하게 질 수 있도록 해야 한다고 제언했다. 이효섭 자본시장연구원 금융산업실장은 “금융사의 AI 활용 활성화를 위해 망분리 완화는 필요한 조치”라면서도 “책무구조도를 통해 금융사 최고경영자(CEO)와 경영진이 IT 인프라에 충분히 투자하고, 정보 유출 등 보안 사고가 발생했을 때 막중한 책임을 지도록 명시하는 등 제도 보완이 필요하다”고 말했다.

김지혜 기자 kimg@kyunghyang.com