금융위원회는 지난 22일 권대영 금융위원회 부위원장 주재로 금융보안원에서 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 열고 이 같은 내용의 대응방안을 논의했다고 24일 밝혔다. 간담회에는 금융감독원, 금융보안원, AI·보안 분야 민간 전문가, 은행·증권·카드업계 주요 금융회사 CISO(정보보호최고책임자) 등이 참석했다.
금융당국은 최근 미국 앤트로픽의 고성능 AI '미토스' 등이 사이버보안 분야에서 높은 성능을 보이는 것으로 알려지면서 금융권 보안환경도 빠르게 바뀌고 있다고 봤다. 고성능 AI가 오래된 보안 취약점을 찾아내고 스스로 해킹 공격을 기획·실행할 수 있는 능력까지 갖출 수 있다는 점에서 기존 보안체계만으로는 대응에 한계가 있다는 판단이다.
다만 금융당국은 AI가 위협 요인인 동시에 보안역량을 높일 수단이 될 수 있다고 보고 있다. 취약점 탐지·분석, 침해위협 감지·차단 등 방어 목적으로 활용하면 기존 인력 중심 방식보다 효과적인 보안관리가 가능하다는 것이다.
이에 금융위는 보안 목적 AI 활용에 대해 망분리 규제를 긴급 완화하기로 했다. 고성능 AI를 활용한 내부 취약점 확인, 보안 SaaS(서비스형 소프트웨어) 솔루션을 통한 방어시스템 구축 등이 대상이다. 신청 자격은 총자산 10조원 이상, 상시 종업원 수 1000명 이상 등 일정 규모와 보안역량을 갖춘 49개 금융회사로 제한된다.
신청 금융회사는 보안관리 역량, AI 활용 능력 등에 대한 전문가 평가와 금융위 보고, 비조치의견서 발급 절차를 거쳐 1년간 한시적으로 망분리 규제 완화를 적용받는다. 금융당국은 1차로 10개 이내 금융회사를 선정해 6~7월 중 고성능 AI 기반 취약점 테스트를 마무리할 계획이다. 2차는 8~9월 중 10~20개사를 목표로 추진하고 3차는 4분기 중 진행한다.
망분리 규제 완화를 적용받은 금융회사는 추가 보안조치를 준수해야 한다. 테스트 결과 확인된 AI 보안위험의 특성, 공격용도 악용 시 예상되는 위험성, 효과적인 방어 요령 등은 정부에 보고하고 전 금융권과 공유한다.
금융당국은 고도의 보안역량과 AI 활용능력을 갖춘 금융회사에 대해서는 기획형 혁신금융서비스 등을 통해 망분리 규제를 전면 해제하는 방안도 검토한다. 선별된 금융회사는 AI 기반 보안체계 구축뿐 아니라 챗봇상담, 자산관리, 여신심사, 기업금융, 내부통제 등 금융서비스 전반에 AI를 활용할 수 있게 된다.
금융보안원에는 '금융AI보안연구소'와 'AI보안 지원센터'가 신설된다. 금융회사의 대응을 돕기 위한 가이드라인도 6월 중 마련된다. 가이드라인에는 전산자원 분류기준, 프로그램 패치 우선순위, 불필요한 외부 접점 폐기, 계정관리와 접근권한 업데이트, 공급망 관리 강화 등이 담긴다.
권대영 금융위원회 부위원장은 "고성능 AI 보안위협은 감기 바이러스와 같아서 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협"이라며 "마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생이 금융권이 갖춰야 할 보안 습관"이라고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>