“해커가 골라서 공격하나”…핀테크·중소금융사 빠진 AI 보안대책

대형사 위주 망분리 규제 완화 추진
레거시보다 AI역량 뛰어난 핀테크
보안방어 취약 중소 금융은 ‘불만’

사진=제미나이

금융당국이 최근 미토스발 인공지능(AI) 보안 위협에 대응해 망분리 규제 완화 조치를 발표했다. 기존의 물리적 망분리 체계가 AI 시대의 고도화된 해킹 공격을 막기엔 역부족이라는 판단에서다. 당국은 보안 목적으로 AI를 활용할 수 있도록 규제를 풀어 이른바 ‘AI로 AI를 막는’ 방어선을 구축하겠다는 구상이다.

그러나 정작 AI 공격에 노출되기 쉽거나 오히려 레거시 금융사보다 AI 역량이 뛰어난 핀테크, 중소 금융사들이 대거 완화 대상에서 제외되면서 현장의 불만이 고조되고 있다. 당국은 보안 역량이 검증된 대형사 위주로 먼저 물꼬를 트겠다는 입장이지만, 업계에서는 “AI가 금융사를 골라가며 공격하느냐”는 볼멘소리가 나온다.

금융권에 따르면 금융당국은 AI 망분리 규제 완화 신청 자격을 총자산 10조원 이상, 종업원 1000명 이상인 49개 금융사로 제한했다. 당국은 이달부터 망분리 규제 완화를 위한 비조치의견서 발급 신청을 받을 예정이다.

문제는 이 정량적 기준 탓에 카카오페이, 네이버페이, 토스, 뱅크샐러드 등 국내 대표 핀테크 기업들은 물론 케이뱅크와 토스뱅크 등 일부 인터넷전문은행마저 신청조차 할 수 없게 됐다는 점이다.

SBI저축은행, OK저축은행 등 저축은행 업권 역시 단 한 곳도 기준을 충족하지 못하는 것으로 알려졌다. 다수의 저축은행이 현재 중앙회 공동망을 사용하고 있어 신청이 쉽지 않은 구조라는 점을 감안하더라도, 진입 자격 자체를 원천 차단당한 것은 차원이 다른 문제라는 지적이다.

한 저축은행 업계 관계자는 “총자산 10조원 이상 조건을 충족하는 곳은 두 곳뿐인데, 그마저도 종업원 수 기준에 미달해 불가능하다”고 말했다.

당국이 규격의 문턱을 이처럼 높인 이유는 대형 금융회사가 상대적으로 강력한 보안 통제력을 갖췄고, 규제를 전면 완화할 경우 새로운 보안 취약점이 노출될 수 있다는 우려 때문이다.

그러나 업계는 이번 조치가 심각한 ‘보안의 역설’을 낳을 수 있다고 경고한다. 고도화된 AI를 활용한 사이버 공격에 맞서기 위해서는 중소 금융사와 핀테크 기업 역시 AI 기반의 방어 체계를 구축해야 하는데, 철저히 소외됐다는 지적이다.

금융권 관계자는 “AI가 대형사와 중소형사를 골라가며 공격하는 것도 아니다”며 “결국 방어력이 약한 금융사가 AI 해킹의 집중 표적이 될 것”이라고 비판했다.

핀테크 업계의 반발은 더 거세다. 기존 레거시 금융권에 비해 기술적 역량과 AI 활용도가 훨씬 앞서 있음에도 단순 자산 규모나 직원 수라는 정량적 잣대에 가로막혔기 때문이다.

핀테크 업계 관계자는 “기술력이 뛰어난 혁신 기업들이 규제에 가로막혀 AI 보안 기술을 도입하지 못하는 역설적인 상황”이라며 “전 금융권이 동등하게 대응할 수 있는 포용적인 정책이 시급하다”고 말했다.

장기적으로는 일회성 샌드박스나 선별적 완화 방식에서 벗어나야 한다는 목소리가 힘을 얻고 있다. 당국이 일일이 가이드라인을 쳐주는 방식 대신, 데이터 보안 가이드라인만 명확히 제시하고 금융사가 AI를 활용해 자율적으로 방어하는 ‘금융판 다층보안체계(MLS)’ 도입을 논의해야 한다는 지적이다.

특정 단말기(PC)를 통한 반쪽짜리 접근을 넘어, 소프트웨어(SaaS) 간 유기적 연동이 지원돼야 실질적인 AI 방어 체계 구축이 가능하다는 제언도 나온다.