금융사, 내부망서 생성형 AI 쓴다…'미토스' 보안 위협에 망분리 전격 완화

금융당국, 보안 목적 AI·SaaS 활용 허용
"AI는 AI로 막는다"…망분리 규제 완화
보안 역량·AI 활용 우수 금융사엔 망분리 전면 해제

정부가 보안 목적의 인공지능(AI) 활용과 관련해 금융권 망분리 규제를 전격 완화한다. 고도의 보안·AI 역량을 갖춘 금융회사에 대해서는 망분리 규제 전면 해제까지 추진한다. 미국 앤트로픽의 고성능 AI 모델 '미토스' 등장 이후 전 세계적으로 금융 시스템을 겨냥한 AI 기반 사이버 위협 우려가 커지자, 'AI는 AI로 막는다'는 기조 아래 선제 대응에 나선 것이다.

보안 목적 AI, 내부망 사용 허용…"AI는 AI로 막는다"

24일 금융위원회에 따르면 권대영 부위원장은 지난 22일 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 열고 이 같은 제도 개선 방안을 논의했다. 회의에는 이종오 금융감독원 디지털·IT 부원장보와 박상원 금융보안원장, AI·보안 전문가 및 은행·증권·카드 등 주요 금융회사 정보보호최고책임자(CISO) 등이 참석했다.

금융당국은 그동안 해킹 사고를 막기 위해 금융회사 내부망과 외부망을 차단하는 망분리 규제를 유지해 왔다. 최근 클라우드 기반 사무관리·업무지원용 응용소프트웨어(SaaS)의 내부망 사용이 허용됐지만 제한적 수준에 머물렀다.

하지만 미토스 등장 이후 상황이 달라졌다. 미토스는 기존 보안 프로그램으로 찾기 어려웠던 오래된 취약점까지 탐지하고, 스스로 해킹 공격을 기획·실행할 수 있는 수준의 성능을 갖춘 것으로 알려졌다. 이에 고성능 AI를 방어 목적으로 활용할 경우 취약점 탐지와 침해 위협 차단 등 보안 역량을 획기적으로 높일 수 있다는 평가도 나온다.

금융위는 우선 보안 목적 AI 활용에 한해 망분리 규제를 한시적으로 완화하기로 했다. 고성능 AI를 활용한 취약점 점검과 보안 SaaS 솔루션 기반 방어 시스템 구축 등을 허용해 AI 보안 체계를 강화하겠다는 취지다.

적용 대상은 총자산 10조원 이상, 상시 종업원 수 1000명 이상 등 일정 요건을 충족해 전담 CISO를 두고 있는 49개 금융회사다. 금융위는 전문가 평가와 심사를 거쳐 비조치의견서를 발급하고, 선정된 금융회사에 대해 1년간 망분리 규제를 완화할 계획이다.

선정된 금융회사는 AI 기반 취약점 테스트와 보안 목적의 AI·SaaS 활용이 가능해지는 대신 강화된 보안 규율을 준수해야 한다. 또 고성능 AI의 보안 위험 특성과 대응 사례 등을 정부에 보고해야 하며, 금융당국은 이를 향후 금융권 보안 가이드라인 마련에 활용할 방침이다.

신청 및 심사는 3차에 걸쳐 추진된다. 1차는 최대 10개사를 대상으로 6~7월 중 진행되며, 2차는 8~9월 중 10~20개사를 추가 선정한다. 나머지 수요는 4분기 중 반영할 예정이다.

금융당국은 향후 보안 역량과 AI 활용 능력이 뛰어난 금융회사에 대해서는 혁신금융서비스 절차 등을 통해 망분리 규제를 전면 해제하는 방안도 검토하기로 했다. 챗봇 상담, 자산관리, 여신심사, 기업금융, 내부통제 등 금융 서비스 전반에 AI 활용을 확대하겠다는 구상이다.

'금융AI보안연구소' 신설…중소 금융회사 지원 강화

금융당국은 AI 기반 사이버 위협 대응 역량 강화를 위해 금융보안원 내에 AI 보안 기술 개발과 위협 대응, 전문인력 양성 등을 수행하는 '금융AI보안연구소'를 신설한다. 연구소는 AI 기반 사이버 공격 등 새로운 보안 위협 동향을 신속히 탐지·분석하고 대응하는 역할을 맡는다.

이와 함께 AI·보안·정보보호 분야 전문가들로 구성된 '민간 기술자문단'을 운영하고, 금융위·금감원·금융보안원 및 전 금융권 CISO가 참여하는 '고성능 AI 보안위협 금융권 상황대응반'을 통해 현장 대응 상황과 애로사항을 점검할 계획이다.

중소 금융회사와 핀테크 기업 지원을 위한 'AI 보안 지원센터'도 운영한다. 센터는 AI 기술 및 위협 동향 공유, 대응 방안 제공, AI 취약점 점검 등을 지원할 예정이다.

금융당국은 또한 6월까지 금융권 AI 보안 가이드라인을 마련할 계획이다. 가이드라인에는 전산자원 분류 기준과 프로그램 패치 우선순위 등이 담기며, IT 자산 관리 역량을 강화하기 위한 맞춤형 지원도 병행할 방침이다.

아울러 적극적인 보안 패치 과정에서 불가피하게 발생한 경미한 전산장애에 대해서는 신속한 복구와 소비자 보호를 전제로 제재 감경·면책을 추진한다. 중소형 핀테크 기업에는 AI 기반 보안점검 비용 지원과 취약점 점검 도구 제공 등을 통해 보안 역량 강화를 지원할 방침이다.

권대영 부위원장은 "고성능 AI 보안 위협은 감기 바이러스와 같아 완전히 차단하기보다 상시 관리해야 하는 대상"이라며 "금융권 전반에 AI 방어체계를 갖추는 사이버 위생이 필요하다"고 밝혔다. 이어 "금융의 인공지능 전환(AX)은 금융 서비스의 근본적인 체질 개선"이라며 "정부도 생산적·포용적·신뢰 금융을 위한 AI 활용 확대를 위해 과감한 제도 개선에 나서겠다"고 밝혔다.

권해영 기자 roguehy@asiae.co.kr