2026년, AI 컴플라이언스 대변혁의 해 [김앤장 핀테크가〮상자산 인사이트]

‘AI위험’ 관리에서, AI를 ‘활용한’ 관리로
강성윤 김앤장 법률사무소 변호사

해외 금융 AI 서비스 도입 가속화

2025. 12. 17. 로이터 보도에 따르면 영국 은행들은 “고객향 에이전트 인공지능(AI)” 시범 운영을 위해 영국 금융감독청(FCA)과 협의 중이며, 2026년 초 대고객 어플리케이션을 출시할 예정이다. 그 일환으로 영국 금융감독청은 2026년 초 AI가 ‘마치 고객 본인인 것처럼’ 의사결정하는 상황까지 상정해, 금융감독청의 규제프레임워크 발전 방향성 등에 대한 의견 수렴을 진행하였다.

모건스탠리, JP모건 체이스, 골드만삭스 등 글로벌 초대형 금융그룹을 비롯한 미국 금융사들은 금융업무 및 내부통제 업무에 에이전트 AI를 적극적으로 도입중이다. 미국에서는 트럼프 대통령의 AI 실행계획하에 금융서비스 AI 위험관리 프레임워크(FS AI RMF)가 마련되었는데, 전 산업에 적용될 수 있는 미국 국립표준기술연구소(NIST)의 AI RMF에 기초한다. 최근 미국 금융산업규제청(FINRA)은 2026년 연간 규제감독보고서에서, 에이전트 AI의 이점에도 불구하고 투자자, 회사 및 시장에 미칠 수 있는 위험을 6가지 유형 (자율성, 범위·권한, 감사가능성·투명성, 데이터 민감성, 도메인 지식 부족, 보상·강화 설계 오류)으로 식별하고 기업의 고려사항을 안내했다.

싱가포르 DBS는 성공적으로 AI 도입 전략을 추진한 아시아 은행으로 손꼽힌다. DBS는 2025년 5월 기준으로 370개 활용 사례에서 1,500개 이상의 AI 모델을 배포했다고 한다. DBS를 비롯한 싱가포르 금융사들은 싱가포르 통화감독청(MAS)에서 제시하는 AI 및 데이터 분석의 책임있는 활용을 위한 기초 원칙인 FEAT 원칙[공정성(Fairness), 윤리성(Ethics), 책임성(Accountability) 및 투명성(Transparency)]을 준수하도록 AI 거버넌스를 수립하였다. 싱가포르 통화감독청은 FEAT 원칙에 기초하여 2025년 말 금융사를 대상으로 AI 리스크 관리 가이드라인 초안을 공개하고 의견을 수렴했다.

이처럼 해외 금융사는 에이전트 AI를 비롯한 AI 기술을 금융업에 적용해 다양한 활용사례(Use Case)를 발굴하고 있고, 정부에서도 금융 AI 위험을 식별하고 가이드를 제공하고 있다.

우리나라 AI 기본법 시행과 금융권의 대응

국내 금융권에서도 AI 도입을 재촉하고 있다. 현재까지는 고객정보를 직접 처리하지 않는 후선 업무 효율화 AI 서비스 중심이며 고객향 AI 서비스는 여전히 조심스럽다. 몇 년 전부터 금융권 AI 거버넌스 수립 프로젝트가 연이어 진행됐다. 복잡한 규제요건하에서 금융사가 AI를 보다 더 잘 활용하기 위해 내부환경을 정비할 필요가 있었기 때문이다.

인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(AI 기본법)이 2026. 1. 22. 시행되면서, 기업은 AI 위험관리체계에 AI 기본법을 입히고 있다. AI 기본법, 시행령, 하위 고시와 가이드라인을 합하면 상당한 분량인데, 이를 실제 활용할 수 있는 AI 위험관리도구로 만들어야 한다. 과학기술정보통신부는 2026. 1. 28. 보도 참고자료를 통해 ‘최소 1년 이상 규제 유예기간을 운영하여 기업이 충분히 준비할 시간을 제공하고, 추가 연장도 적극 검토할 예정’임을 밝히고 AI 기본법 안내데스크도 운영중인바, 금융사는 위 기간 내 AI 기본법 대비를 마치기 위해 분주히 움직이고 있다.

AI 기본법 적용 요건 요약. <자료=김앤장 법률사무소>

AI 기본법은 AI시스템을 개발·이용하여 제공하는 인공지능사업자에게 일정한 법상 의무를 부과한다. 여기서 인공지능사업자란, (i) 인공지능개발사업자 또는 (ii) 인공지능이용사업자를 의미한다. 이때, 인공지능이용사업자와 (일반) 이용자를 잘 구분하여야 하는데, 이용자에 해당하게 되면 동법상 의무를 부담하지 않기 때문이다. 만일 금융사가 외부 AI 회사의 AI 제품 또는 서비스를 형태나 내용의 변경 없이 그대로 이용하는 경우 ‘이용자’에 해당하게 된다. 이와 달리 AI를 AI 제품 또는 서비스로 구현하기 위한 목적으로 이용하는 경우에는 ‘인공지능 이용사업자’에 해당하게 된다.

예를 들어, 아래 고영향 인공지능 판단 가이드라인상의 예시와 같이, AI를 활용하여 채용하고자 하는 금융사가 외부 기업이 제공하는 AI 면접 시스템을 그대로 활용해 채용 절차를 진행하는 경우, 그 금융사는 ‘이용자’에 해당해 AI 기본법상 의무를 부담하지 않게 된다.

고영향 인공지능 판단 가이드라인. <자료=과학기술정보통신부·한국지능정보사회진흥원>

그렇다면 인공지능사업자에 해당하면 곧바로 AI 기본법상 의무를 부담하는가? 그렇지는 않다. 이에 더 나아가 최첨단 AI, 고영향 AI, 대고객 생성형 AI를 개발·이용하여 제공하는 경우에 한하여 AI 기본법상 의무를 부담하는데, 지면상 상세 설명은 생략하도록 한다. 요약하자면, AI 기본법상 요건을 잘 이해하고 AI 기획·설계에 반영하는 것이 금융 AI 서비스 개발 시 필수 사항이 되었다는 것이다.

금융권 AI 가이드라인 공개와 금융 AI 규제 매트릭스 대응

최근 2025년 12월 금융위원회의 금융분야 AI 가이드라인, 2026년 1월 금융감독원 금융분야 인공지능 위험관리 프레임워크의 각 초안이 공개됐다. 금융분야 AI 가이드라인의 보안성 원칙에 대한 실무적인 안내를 위해 2026년 1월 금융보안원에서 금융분야 AI 보안 실무 안내서 초안에 대한 금융권의 의견 수렴을 진행하고 있다. 이는 과거 금융권 가이드라인을 대체하는 것으로 1/4분기 정도에 시행될 것으로 예상된다. 이번 가이드라인의 범위는 금융사 전사적 대응을 요할 정도로 여러 부서의 업무와 깊게 연관되어 있어, AI 부서만의 대응으로는 어려우며, 체계적으로 로드맵을 수립해 접근할 필요가 있다.

금융권 AI 규제 매트릭스. <자료=김앤장 법률사무소>

금융사는 국내 AI 규제 변화 흐름에 맞춰 ①AI 기본법 하위법령과 가이드라인, ②금융권 AI 가이드라인, ③개인정보보호위원회의 AI 가이드라인 등을 종합해, 회사에 맞춤화된 내부 정책과 매뉴얼을 마련하고 있다. 한편, AI 거버넌스 내부 정책과 매뉴얼이 문서로만 존재하게 되면 실무상 그 준수·관리가 쉽지 않은 측면이 있다. 이에 금융사들은 기존의 IT시스템·AI개발 시스템 등에 반영하거나 별도 솔루션을 도입하는 방안 등을 다각도로 검토중이다.

2026년은 AI 기본법을 회사의 AI 거버넌스에 잘 반영하는 것이 주요 과제인 해이다. 올해는 특히 대고객 서비스로 나아가기 전에 후선 업무, 컴플라이언스 활동에 AI를 접목하려는 시도가 두드러질 것이다. 그 후에는 업종별 대고객 AI 서비스 Use Case 발굴 경쟁이 예상된다. 그 경쟁에서 뒤쳐지지 않기 위해 AI 거버넌스 활동의 자동화·시스템화, 유관 부서 AI 거버넌스 협업체계 수립, 기존 IT/데이터/보안 거버넌스와의 연계, 제3자 IT리스크관리체계와의 연계 등 AI 거버넌스가 전사적 관점에서 실제 기능하게 할 수 있는 과제를 도출하고 준비할 시점이다.

[김앤장 핀테크가〮상자산 인사이트] 에서는 빠르게 변화하는 디지털 금융 환경 속에서 핀테크, 가상자산, 블록체인 산업을 둘러싼 법제〮도와 규제 동향을 살펴보고 주요 정책과 해석례를 참고해 기업과 실무자들에게 필요한 시사점을 전달하고자 합니다. 강성윤 변호사는 AI, 가상자산, 블록체인 등 금융권 신사업 영역에서 김·장 AI·IT·보안·컨설팅 전문가와 협업해 종합법률컨설팅 서비스를 제공하고 있습니다.