"미토스 대응 AI에 망분리 규제 긴급 완화"...금융위, 전면 해제도 검토

보안목적 AI 활용 우선 허용
고도의 보안 역량 확인되면
전면해제 검토...기술개발 속도

[파이낸셜뉴스] 금융위원회가 미토스 인공지능(AI)의 해킹 위협이 목전에 놓인 상황에서 보안·대응용 AI 사용을 한시적으로 허용한다. 충분한 역량을 갖춘 금융회사의 경우 논리적·물리적 망분리 규제를 전면 해제하는 것도 검토하기로 했다

24일 금융업계에 따르면 지난 22일 권대영 금융위원회 부위원장은 은행·증권·카드사 정보보호최고책임자는 물론 AI·보안분야 전문가와 함께 고성능 AI 관련 금융권 보안위협 대응 간담회를 열었다. 단시간에 기존 보안 시스템을 해킹할 수 있다고 알려진 앤트로픽 '미토스' 등 자고성능 AI 모델의 위협이 가시화된 가운데 민관이 협력해 사이버 보안 강화에 나선 것이다.

금융위는 "이번 간담회에서 금융회사가 AX 대전환 시기의 새로운 보안위협에 효과적으로 대응하고 생산적·혁신적인 금융서비스 제공을 위해 AI를 적극적으로 활용할 수 있도록 하는 제도 개선 방안을 심도있게 논의했다"고 밝혔다.

금융업계는 미토스의 성능이 실제 기존 보안망을 무력화시킬 수 있는 정도라고 보고 있다. 금융보안업계 관계자는 "모델이 완전하게 공개된 것이 아닌 만큼 단정지을 수는 없겠지만 실체는 있다"면서도 "빠르게 대응하면 사고를 막을 수 있다"고 말했다.

금융위 역시 미토스 사태를 한국 금융권의 사이버 보안역량을 강화하는 계기로 삼는다는 구상이다. 미토스 모델 대응 과정에서 기존 취약점 탐지·분석이 가능해지면 새로운 침해 위협 감지·차단하는 등 '방어' AI 역시 고도화된다는 것이다. 금융위는 이과정에서 필요하다면 지난 2013년 12월 도입된 망분리 규제를 대폭 완화하는 조치를 취하겠다고 밝혔다.

국내 금융회사는 전자금융감독규정에 따라 엄격한 망분리 규제를 받고 있다. 해외와 달리 업무용 시스템·전산실 내 정보처리시스템을 인터넷 등 외부 통신망과 분리·차단해야 하는 것이다.

과거 사이버 보안을 위해 도입된 망분리 규제가 현재 고성능 AI의 공격을 막는데 발목을 잡는 상황이다. 금융위는 "망분리 규제는 금융회사의 정보처리를 위한 시스템이 외부 환경에 노출되는 잠재적인 공격 표면(Attack Surface)을 최소화하는 데는 유리하지만, 고성능 AI 등을 활용해 취약점을 탐지하거나 방어시스템을 구축하는 "AI 기반 보안 시스템" 마련이 원천적으로 제한되는 한계가 있다"고 설명했다.

금융위원회는 금융회사들이 인공지능 전환(AX)기에 △고성능 AI 보안위협에 효과적으로 대응하고 망분리 규제를 적극 추진한다. 먼저 보안목적 AI 활용시 망분리 규제를 우선적으로 완화한다. 고성능AI를 활용한 취약점 확인, 보안 SaaS 솔루션을 통한 방어시스템 구축 등 보안목적 AI 활용에 대해서 망분리 규제완화를 신속히 추진한다.

단 망분리 규제가 전격 완화되는 만큼 신청자격은 일정한 보안역량을 갖춘 금융회사로 한정한다. 구체적으로 총자산 10조원 이상, 상시종업원수 1000명 이상을 갖추고, 전자금융거래법에 따라 전담 CISO를 두도록 규율받는 49개 금융회사만 신청할 수 있다.

신청한 금융회사에 대해서는 보안관리 역량, AI활용 능력 등에 대한 전문가 평가 등을 바탕으로 금융위원회 보고, 비조치의견서 발급 등 절차를 거쳐서 한시적(1년간)으로 망분리 규제가 완화된다.

금융회사 신청접수·심사는 효율적인 심사진행 등을 위해 1∼3회차로 나눠 진행한다. 금융위는 미토스 위협의 시급성을 감안해 1회차는 10개사 이내 금융회사에 한정해 6~7월 중 마무리되도록 조속히 절차를 진행할 예정이다. 2회차는 추가 신청회사 및 보완 준비가 필요한 금융회사 등을 포함해 10∼20개사를 목표로 8∼9월 중에 추진한다. 3회차는 나머지 신청수요 등을 감안하여 4분기 중에 이뤄지도록 할 계획이다.

고도의 보안역량과 AI 활용능력을 갖춘 금융회사에 대해서는 망분리 규제를 전면 해제하는 방안도 검토·추진할 계획이다. 기획형 혁신금융서비스를 활용해 역량이 입증된 회사의 전면적 망분리 규제 완화를 시행하는 것이다.

금융위는 "현재와 같은 망분리 완화 속도로는 급변하는 AX 전환 속에서 금융권이 뒤처질 수 있다"면서 "금융회사의 업무·조직·서비스 전반을 AI 기반으로 전환하는 체질 개선이 필요한 상황"이라고 진단했다. 하지만 보안 인력과 역량이 부족한 소규모 회사가 해킹의 타겟이 될 수 있는 만큼 단계적으로 해제에 돌입한다.

금융위는 AI·보안분야 전문가 등의 면밀한 심사를 통해 고도의 보안역량, AI 활용능력, 망분리 대체 보안조치 등 다각도에서 월등한 역량을 갖춘 금융회사를 선별해 추진할 계획이다.

선별된 금융회사는 다른 금융회사에 앞서 △전면적·체계적인 AI 보안체계 구축 △금융회사의 생산성 향상을 위한 챗봇상담·자산관리, 여신심사, 기업금융, 내부통제 등 다양하고 혁신적인 금융서비스 마련에 AI를 폭넓게 활용할 수 있다.

권대영 금융위원회 부위원장은 "고성능 AI 보안위협은 감기 바이러스와 같아서, 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협"이라며 "마스크를 쓰듯 AI 방어체계를 갖추는 일상적인 사이버 위생(Cyber Hygiene)이 금융권이 갖춰야 할 보안 습관"이라 강조했다.

이어 "금융권이 상시적으로 전사적인 AI 보안 역량 강화에 나서달라"면서 "금융 AX 대전환은 단순한 기술 도입을 넘어 금융서비스의 근본적인 체질 개선을 의미한다"고 주문했다.

mj@fnnews.com 박문수 기자