“AI 공격, AI로 방어”…보안목적 땐 망분리 규제 문턱 낮춘다

고성능 AI 관련 보안위협 대응
망분리 규제 전면 해제도 검토
금보원 내 AI보안연구소 신설
6월 AI 보안 가이드라인 마련

권대영(왼쪽 두 번째) 금융위원회 부위원장이 22일 서울 여의도 금융보안원에서 열린 ‘고성능 인공지능(AI) 관련 금융권 보안위협 대응 간담회’에서 모두발언을 하고 있다. [금융위 제공]

[헤럴드경제=김은희 기자] 금융당국이 보안 목적으로 인공지능(AI)을 활용하는 경우에 한해 망분리 규제를 완화해 주기로 했다. 최근 고성능 AI 발전으로 사이버 위협 환경이 고도화되고 있다는 판단에서다. AI와 보안 역량이 검증된 금융회사를 대상으로는 망분리 규제를 전면 해제하는 방안도 검토한다.

금융위원회는 지난 22일 권대영 부위원장 주재로 AI·보안 전문가, 주요 금융사 정보보호최고책임자(CISO) 등과 간담회를 열고 고성능 AI 관련 금융권 보안위협 대응 방안을 마련했다고 24일 밝혔다.

권 부위원장은 “고성능 AI 보안위협은 감기 바이러스와 같아서 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협”이라며 “마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생이 금융권이 갖춰야 할 보안 습관”이라고 강조했다.

이번 간담회에서는 지난달 공개된 앤트로픽의 고성능 AI ‘미토스’로 촉발된 보안위협 상황을 진단하고 금융사가 새로운 보안위협에 효과적으로 대응하는 한편 혁신적인 금융서비스를 제공하기 위해 AI를 적극 활용할 수 있도록 하는 제도 개선 방안을 논의했다.

전담 CISO 둔 49개 금융사 신청 가능

우선 금융위는 보안목적 AI 활용에 대해 망분리 규제 완화를 신속히 추진한다. 신청 자격은 일정한 보안역량을 갖춘 금융사로 한정한다. 총자산 10조원 이상, 상시종업원수 1000명 이상으로 전자금융거래법상 전담 CISO를 두고 있는 49개 금융사가 대상이다.

신청한 금융사에 대해서는 전문가 평가 등을 바탕으로 금융위 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 한시적으로 망분리 규제가 완화된다. 금융사는 고성능 AI를 활용한 취약점 테스트, 보안 서비스형 소프트웨어(SaaS) 사용 등 보안목적으로 AI·SaaS를 활용할 수 있게 된다.

다만 일정한 보안규율을 준수해야 하며 테스트 결과 확인된 고성능 AI 보안위험성의 특성, 공격용도 활용시 예상되는 위험성 등 정보를 정부에 보고해야 한다. 정부는 이를 전 금융권 사이버보안 강화를 위한 가이드라인 구체화 등을 위해 활용할 예정이다.

보완관리 역량을 갖춘 10개사 이내 금융사를 대상으로 6~7월 중 우선 신청접수·심사가 진행된다. 이후 2회차는 10~20개사를 목표로 8~9월 중, 3회차는 잔여 수요를 반영해 4분기 중 진행할 계획이다.

이번 프로그램을 신청하지 않은 금융사 등에 대해선 금융보안원을 통해 망분리 규제 완화가 필요 없는 외부 공격표면 대상 AI 취약점 점검 등을 지원할 계획이다. 7월까지 최대 17개사 규모로 진행한다.

나아가 고도의 보안역량과 AI 활용능력을 갖춘 금융사에 대해서는 기획형 혁신금융서비스 등 절차를 통해 망분리 규제를 전면 해제하는 방안도 검토·추진할 계획이다.

현재의 망분리 완화 속도로는 급변하는 AX 전환 속에서 금융권이 뒤처질 수 있다는 게 금융위의 판단이다. 이에 과감하게 규제를 완화해 성공사례를 축적하고 이를 금융권 전반으로 확산할 계획이다.

선별된 금융사는 전면적·체계적인 AI 보안체계 구축과 생산성 향상을 위한 ▷챗봇상담·자산관리 ▷여신심사 ▷기업금융 ▷내부통제 등 다양한 혁신 금융서비스 마련에 AI를 폭넓게 활용할 수 있게 된다.

권대영(앞줄 왼쪽 네 번째) 금융위원회 부위원장이 22일 서울 여의도 금융보안원에서 열린 ‘고성능 인공지능(AI) 관련 금융권 보안위협 대응 간담회’에서 주요 참석자와 기념촬영을 하고 있다. [금융위 제공]

민간 기술자문단 구성 등 조직·기능 강화

금융위는 관계기관과의 협업을 통해 고성능 AI 보안 위협을 선제적으로 파악해 금융권에 전파하는 역할을 이어가고 이를 위한 조직·기능을 강화한다.

먼저 AI·보안·정보보호 등에 정통한 학계·보안업계·전문가로 ‘민간 기술자문단’을 구성할 계획이다. 자문단은 ▷망분리 완화 추진 과정에서의 금융사 보안역량·준비상황 등에 대한 평가 ▷고성능 AI 보안위협과 관련한 국내외 논의동향·대응과제 등 다양한 영역에서 심도 있는 정책자문을 수행한다.

지난달 금융위·금융감독원·금보원, 전 업권 CISO 등으로 꾸린 ‘고성능 AI 보안위협 금융권 상황대응반’도 상시·수시로 연다. 앞으로도 정부-금융권 간 긴밀한 소통창구로 활용해 나갈 방침이다.

금보원의 AI 지원 기능을 강화하기 위해 ‘금융 AI보안연구소’와 ‘AI보안 지원센터’를 신설하기로 했다.

금융 AI보안연구소는 새로운 보안 위협의 최신 동향을 신속히 탐지·파악해 효과적으로 대응하는 데 주력한다. AI보안 지원센터는 중소형 금융회사 등을 위해 AI 기술·위협 동향 공유, 대응방안 제공, AI 취약점 점검 등 다각적인 지원을 펼친다.

이와 함께 금융위는 다음달 중 AI 보안 가이드라인을 마련한다. 가이드라인에는 금융사가 정보기술(IT) 자산 관리체계를 스스로 점검·보완할 수 있도록 ▷전산자원 분류기준 ▷프로그램 패치 우선순위 등 실무기준을 포함할 예정이다. IT자산관리 역량 강화를 위한 현장지원과 설명회 등 지원도 병행한다.

적극적인 보안패치 등 보안강화 조치 과정에서 불가피하게 발생한 경미한 전산시스템 장애에 대해서는 신속한 복구와 소비자 보호조치를 전제로 제재 감경·면책을 추진할 계획이다.

상대적으로 보안대응 역량이 부족한 중소형 핀테크 기업에 대해서도 보안체계 강화 지원을 추진한다. AI를 활용한 보안점검 비용 지원과 취약점 점검 도구 제공 등을 검토 중이다.

권 부위원장은 “금융권이 상시적으로 전사적인 AI 보안 역량 강화에 나서달라”고 당부하며 “정부도 생산적·포용적·신뢰 금융을 위한 AI 활용이 가능하도록 과감한 제도개선을 해나가겠다”고 약속했다.