주요 OS의 취약점 수천개 잡아내
뛰어난 탐지능력 해킹 등 악용 우려
앤트로픽, 일반에는 비공개 계획
AI가 금융안정 위협하는 새 국면
美·英 사이버 위협 대응 긴급회의
단순 IT 리스크 아닌 금융안정 대응
국내도 보안정책 중심 AI 전략 필요
금감원, 실무자 긴급소집 점검회의
뛰어난 탐지능력 해킹 등 악용 우려
앤트로픽, 일반에는 비공개 계획
AI가 금융안정 위협하는 새 국면
美·英 사이버 위협 대응 긴급회의
단순 IT 리스크 아닌 금융안정 대응
국내도 보안정책 중심 AI 전략 필요
금감원, 실무자 긴급소집 점검회의
앤트로픽이 공개한 인공지능(AI)모델 '클로드 미토스(Claude Mythos)'의 프리뷰를 둘러싸고 미국과 영국 등 글로벌 금융당국이 긴급회의를 소집하는 등 즉각적인 대응에 나섰다. AI가 국가와 금융 핵심 인프라를 위협하는 실질적인 사이버 병기로 진화할 수 있다는 우려 때문으로 풀이된다.
앤트로픽의 미토스 공개는 AI가 금융 시스템과 국가 인프라를 교란할 수 있다는 AI발 사이버위협이 잠재적 위험변수를 넘어 현실적 위협이 됐음을 입증한 셈이 됐다. 이 때문에 한국 정부와 금융당국 역시 AI로 발생할 수 있는 사이버위협에 대한 구체적인 대응체계 마련에 즉각 나서야 한다는 전문가들의 목소리가 확산되고 있다.
■ 美·英, AI를 금융 안정 리스크로 격상
13일 파이낸셜뉴스 취재를 종합하면 앤트로픽이 지난 7일(현지시간) 고성능 AI 모델 '미토스'를 공개한 직후 스콧 배센트 미국 재무장관과 연방준비제도(Fed)는 골드만삭스, 시티뱅크, 뱅크오브아메리카, 모건스탠리 등 주요 은행 최고경영자(CEO)들과 긴급 전화회의를 소집해 AI 기반 사이버 리스크 대응 상황을 점검했다.
AI가 금융 시스템을 공격할 수 있는 강력한 무기가 될 수 있다며 대응책을 점검하는 회의에서 AI를 활용해 금융시스템의 보안을 점검하도록 한 셈이다. 강력한 AI가 미국 행정부를 딜레마에 빠뜨렸다는 분석도 나오고 있다.
영국 역시 영란은행과 금융행위감독청(FCA), 국가사이버보안센터(NCSC)가 공동으로 주요 금융기관을 대상으로 긴급 리스크 평가에 착수했다. 유럽에서도 중앙은행과 규제당국이 동시에 움직이며 AI를 기존의 '디지털 리스크'가 아닌 금융 안정성과 직결된 시스템 리스크로 재분류하는 흐름이 뚜렷해졌다.
한국에서도 13일 금융감독원이 주요 은행 등 금융권 정보보호·보안 실무자들을 긴급소집해 AI 발 보안위협에 대한 점검회의를 했다.
앤트로픽이 구글, 아마존, 마이크로소프트 등 빅테크 기업들과 함께 운영중인 보안프로젝트 '글래스윙(Project Glasswing)'의 일환으로 공개한 미토스는 테스트 과정에서 세계 모든 주요 운영체제(OS)와 웹 브라우저에서 수천 개의 고위험 취약점을 발견했다고 밝힌 바 있다. 앤트로픽은 "(미토스는)지금까지 개발한 AI 모델 중 가장 강력하다"며 소프트웨어의 보안 취약점을 탐지하는 능력이 뛰어나 해킹 등에 악용될 수 있기 때문에 일반에 공개하지 않고 폐쇄형으로 운영하겠다는 계획을 밝혔다.
■ AI발 사이버위협, 금융 시스템 취약성 드러낼 수도
미토스 공개 이후 정부와 금융당국, 금융권이 가장 먼저 반응한 것은 금융의 시스템 구조와 규제 환경 때문으로 풀이된다.
미국의 주요 은행들은 이미 사이버 공격을 시스템 리스크로 분류해 재무부와 Fed의 정기적인 스트레스테스트와 감독을 받는 중이다. 은행은 결제·청산·자금이체 등 실시간으로 연결된 핵심 인프라를 운영하고 있어, 단일 취약점이 전체 시스템으로 확산될 가능성이 높다. 특히 글로벌 금융 시스템은 스위프트, 신용카드 네트워크, 대형 은행 전산망 등으로 상호 연결돼 있어, 특정 지점의 장애가 연쇄적인 거래 중단으로 이어질 수 있다. 또 금융기관은 고객 자산과 시장 신뢰를 직접적으로 다루는 산업 특성상, 보안 사고가 곧바로 유동성 위기나 뱅크런으로 전이될 수 있는 구조를 갖고 있다. 이 때문에 미국과 영국 당국은 AI의 잠재적 사이버 공격 능력을 단순 IT 리스크가 아닌 금융 안정성 문제로 즉시 격상해 대응에 나선 것으로 풀이된다.
■ AI활용만 강조하는 韓 AI 정책 재정립해야
한국 금융당국과 보안기관은 아직 AI를 리스크보다는 활용 극대화 관점에서 접근하고 있다는게 국내 전문가들의 분석이다. 전국민이 AI를 편리하게 사용할 수 있도록 지원하고, AI 기업을 육성하기 위해 GPU를 제공하는데 정부가 앞장서는 것이 국내 AI 정책의 핵심이라는 것이다.
금융 당국 역시 금융위원회와 금융감독원이 금융권 AI 활용 가이드라인과 내부통제 기준을 제시하고 있는데, 주로 데이터 활용, 소비자 보호, 알고리즘 투명성에 초점이 맞춰져 있다.
사이버 공격 가능성을 전제로 한 시스템 리스크 차원의 대응 체계는 아직 구체화되지 않은 실정이다. 과학기술정보통신부와 국가정보원 역시 AI 보안의 중요성을 강조하고 있으나, 금융 시스템과 직접 연계된 통합 대응 체계나 스트레스 테스트는 본격화되지 않은 상태다. 한국은행 역시 AI 기반 사이버 리스크를 금융 안정성 관점에서 공식 의제로 다루지는 않고 있다.
이 때문에 미토스 공개 이후 미국과 영국 정부와 금융당국이 즉각적인 반응을 보인 것에 배경과 대응책에 대해 한국 정부에서도 벤치마 할 필요가 있다는 조언이 나오고 있다. 특히 한국 AI정책의 초점을 근본적으로 조정하는 논의도 필요하다는 조언도 확산되고 있다.
글로벌 AI경쟁의 중심축이 AI데이터센터, 전력, 보안 역량 같은 인프라 경쟁으로 전환됐기 때문에 한국의 AI 전략도 조정이 필요하다는 것이다.
익명을 요구한 한 보안 전문가는 "AI가 취약점 탐지와 공격 자동화 능력을 동시에 갖추면서, AI발 보안정책은 AI정책과 금융권 AI전략에서 활용 전략보다 우선순위에 올려야 하는 항이 됐다"며 "금융권 대상 AI 기반 공격 시나리오 구축이나 사이버 리스크 스트레스 테스트 도입, 금융당국·중앙은행·정보기관 간 통합 대응 체계 구축 등 금융권 AI정책을 시급히 재정립해야 한다"고 강조했다.
cafe9@fnnews.com 이구순 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지