AI 해킹 위협은 상대 안 가리는데…망분리 완화 소외된 중소·핀테크
금융권의 '인공지능(AI) 보안 체계'를 위한 망분리 규제 완화가 본격화하고 있다. 다만 적용 대상이 대형 금융회사에 한정돼 중소형 금융사나 핀테크 기업을 위한 '투트랙' 접근이 필요하다는 지적이 나온다.
31일 금융권과 보안업계 등에 따르면 금융위원회 망분리 규제 특례 1차 신청이 지난 29일 마감됐다. 앤트로픽의 '미토스' 등 고성능 AI의 사이버 위협을 AI로 방어하기 위해 금융권의 망분리 규제를 한시적으로 완화하는 절차다.
1차 신청 마감 이후 민간 전문가 심사 등을 거쳐 금융사 10곳 내외가 선정된다. 이들은 AI 기반 취약점 테스트를 진행하고, 하반기 2·3차 신청 등 순차적으로 대상을 확장해 나간다.
신청 자격은 총자산 10조원 이상, 상시 종업원 1000명 이상 등의 요건을 갖춘 49개 금융회사다.
인터넷전문은행 일부와 중소형 증권사, 대부분의 핀테크 기업들은 자격 단계부터 제외됐다.
미신청 금융회사에는 금융보안원이 외부 공격표면 점검을 제공하고, 핀테크 기업엔 별도의 보안점검 비용과 AI 위험관리체계 수립을 지원한다.
하지만 이는 외부 기관이 점검과 도구를 제공하는 형태로 자체 AI 보안 체계를 구축할 수 있는 망분리 완화와는 거리가 있다.
이미 정부와 기업의 대응 모두 글로벌 추세에 비해 뒤처져 있고, 특수한 망분리 상황 속에서 중소 금융사의 대응은 더 늦어질 것이란 우려가 커진다.
이미 AI를 활용한 공격 자동화가 현실로 나타나고 있는 만큼 대응 속도와 범위 모두 넓혀야 한다는 지적이 설득력을 얻고 있다.
금융위 역시 "기존 보안체계의 대응 속도와 범위를 월등히 넘어서는 보안 취약점 탐지 등이 가속화될 우려가 있다"고 진단한 바 있다.
망분리 완화가 동반하는 새로운 위협도 변수다. 외부 AI와 서비스형소프트웨어(SaaS), 클라우드 보안 도구 활용이 새로운 공격면을 만들 수 있다는 지적이다. 외부 AI를 통한 데이터 유출, 프롬프트 인젝션 등이 대표적이다.
보안 전문가들은 "AI를 활용한 공격은 회사 규모를 가리지 않는다"며 "오히려 보안 인력과 예산이 적은 중소 금융사와 핀테크 기업들이 더 직접적인 표적이 될 수 있다"고 우려했다.
또 기술 중심 핀테크 기업이나 중소형 금융회사가 더 빠르게 AI 보안 도구를 실험하고 적용할 수 있다고 지적했다. 규제 완화를 위한 보안 역량 검증이 필요하지만 자산 규모나 임직원 수가 아닌 실질적인 능력을 살펴야 한다는 것이다.
업계에서는 금융위의 대형사 중심 AI 도입과 별도의 트랙을 가동해야 한다는 목소리가 나온다. 중소형사와 핀테크 기업이 참여할 수 있는 별도 검증 과정을 함께 마련하자는 것이다.
금융보안원의 사전 보안성 검증, 표준 통제 패키지, 제한된 범위의 샌드박스, 공동 AI 보안 테스트 환경 등이 해결책으로 거론된다.
장세인 토스증권 최고정보보호책임자(CISO)는 "이번 정책은 AI 시대 변화의 첫걸음"이라며 "보안 역량을 가진 대형사만의 제도가 아니라 다양한 금융 플레이어가 활용할 수 있는 방향으로 확장돼야 금융권 전체의 AI 보안 역량 강화로 이어질 수 있다"고 말했다.
김남석 기자 kns@dt.co.kr
Copyright © 디지털타임스. 무단전재 및 재배포 금지.