인공지능(AI)이 해킹 공격에 악용될 수 있다는 우려가 커지자 금융당국이 금융권의 AI 보안 규제를 일부 풀기로 했다. 그동안 금융회사는 망분리 규제로 고성능 AI 보안 기술을 쓰는 데 제한이 있었는데, 앞으로는 AI를 활용해 해킹 위협을 탐지하고 방어할 수 있도록 길을 열어주겠다는 취지다.
금융위원회는 22일 권대영 금융위 부위원장 주재로 ‘고성능 AI 관련 금융권 보안위협 대응 간담회’를 열고 이 같은 내용의 대응 방안을 논의했다.
최근 미국 AI 기업 앤트로픽의 AI 모델 ‘미토스’가 사이버보안 분야에서 높은 성능을 보이는 것으로 알려지면서 금융권 긴장감도 커지고 있다. 금융위에 따르면 미토스 등 고성능 AI는 기존 취약점 탐색 프로그램이 찾기 어려웠던 오래된 보안 취약점까지 찾아낼 수 있고, 스스로 해킹 공격을 기획·실행할 수 있는 능력까지 갖출 수 있는 것으로 알려졌다.
문제는 국내 금융권이 망분리 규제에 묶여 있다는 점이다. 금융회사는 업무용 시스템과 전산실 내 정보처리시스템을 인터넷 등 외부 통신망과 분리해야 한다. 외부 공격 표면을 줄이는 데는 유리하지만 고성능 AI나 보안 SaaS 솔루션을 활용한 방어 체계 구축에는 한계가 있었다.
금융위는 우선 보안 목적 AI 활용에 한해 망분리 규제를 긴급 완화하기로 했다. 대상은 총자산 10조원 이상, 상시 종업원 1000명 이상 요건을 갖춰 전담 최고정보보호책임자(CISO)를 둬야 하는 49개 금융회사다. 신청 회사 가운데 보안관리 역량과 AI 활용 능력 등을 평가해 선정한다.
규제 완화는 한시적으로 1년간 적용된다. 선정된 금융회사는 고성능 AI를 활용한 내부 취약점 테스트와 보안 SaaS 솔루션 기반 방어 시스템 구축 등을 할 수 있다. 다만 보안성이 검증된 AI만 사용해야 하며 추가 보안조치도 준수해야 한다. 테스트 결과 확인된 AI 보안 위험성과 공격 악용 가능성, 효과적인 방어 요령 등은 정부에 보고해야 한다.
1차 신청 접수는 22일부터 29일까지다. 민간 전문가 심사를 거쳐 6월 초 대상 회사를 선정하고, 6월 17일 금융위 보고를 거쳐 6월 중 비조치의견서를 발부한다. 1차 대상은 10개사 이내다. 금융위는 6~7월 고성능 AI 기반 취약점 테스트를 진행한 뒤 2차는 8~9월, 3차는 연말에 순차적으로 추진할 계획이다.
금융위는 더 나아가 고도의 보안 역량과 AI 활용 능력을 갖춘 금융회사에 대해서는 망분리 규제를 전면 해제하는 방안도 검토 중이다. 이 경우 챗봇 상담과 자산관리, 여신심사, 기업금융, 내부통제 등 금융서비스 전반에 AI를 폭넓게 활용할 수 있게 된다.
늘어나는 사이버 위협에 대응해 금융사들도 AI 기반 보안 체계 강화에 속도를 내고 있다. NH농협손해보험은 과학기술정보통신부와 한국인터넷진흥원(KISA)이 추진하는 ‘2026년 제로트러스트 도입 시범사업’에 보험업계 최초 핵심 수요기관으로 참여한다. 농협손보는 AI 기반 적응형 보안 체계를 실제 환경에 적용하고, 네트워크를 세부 단위로 분리해 공격 확산을 막는 ‘미세 격리 모델’을 검증할 계획이다.
AIA생명은 이상금융거래탐지시스템(NCFFDS)에 신규 시나리오를 추가해 비대면 환경에서 발생하는 이상 징후를 실시간 탐지하는 체계를 강화하고 있다. 추가 인증과 거래 차단, 사고 판정까지 가능한 보안 체계도 구축했다. KB손해보험은 사이버 보안 기업 에이아이스페라와 손잡고 사이버 리스크 관리 체계 고도화에 나선다. 양사는 가입 고객 대상 보안 점검과 위험 진단 서비스, 최신 보안 위협 정보 공유 등을 공동 추진한다.
김미현 기자 mhyunk@kukinews.com
