"AI 공격, AI로 방어"…금융위, '보안 목적 망분리 규제' 긴급 완화 조치

(서울=뉴스1) 한병찬 기자 = 금융당국이 인공지능(AI) 기반 보안 위협에 대응하기 위해 망분리 규제 긴급 완화 조치를 시행한다. 고성능 AI를 방어 목적으로 활용하는 경우에 한해 규제를 풀겠다는 것이다.

24일 금융당국에 따르면 금융위원회는 지난 22일 권대영 부위원장 주재로 AI·보안 민간전문가, 은행·증권·카드 등 주요 금융회사 정보보호최고책임자(CISO)가 참석하는 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 열고 이 같은 방안을 발표했다.

이번 조치는 미국 앤트로픽의 고성능 AI '미토스'가 사이버보안 부문에서 탁월한 성능을 보이는 것으로 알려지면서 해킹 악용 우려가 커진 데 따른 것이다. 미토스 등 고성능 AI는 기존 취약점 탐색 프로그램으로 찾기 어려웠던 오래된 보안 취약점까지 손쉽게 탐지할 수 있는 것은 물론 스스로 해킹 공격을 기획·실행하는 능력까지 갖출 수 있는 것으로 알려졌다.

이억원 금융위원장은 21일 기자간담회에서 "AI 공격은 AI로 방어해야 하는데 망분리 규제가 보안 체계 전환을 가로막고 있다"며 금융사가 보안 목적으로 AI를 활용할 경우 망분리 규제를 단계적으로 완화할 계획이라고 밝힌 바 있다.

국내 금융회사는 해외와 달리 업무용 시스템·전산실 내 정보처리시스템을 인터넷 등 외부 통신망과 분리·차단해야 하는 망분리 규제를 적용받는다. 망분리 규제는 외부 공격 표면을 최소화하는 데 유리하지만 고성능 AI를 활용한 취약점 탐지나 방어 시스템 구축이 원천적으로 제한되는 한계가 있다.

금융위는 우선 보안 목적 AI 활용에 한해 망분리 규제 긴급 완화를 추진한다.

망분리 규제가 전격 완화되는 만큼 신청자격은 일정한 보안역량을 갖춘 금융회사로 한정한다. 구체적으로 총자산 10조 원 이상, 종업원수 1000명 이상으로 전자금융거래법에 따라 전담 CISO를 두도록 규율받는 49개 금융회사가 신청할 수있다.

신청 금융회사에 대해서는 보안관리 역량·AI 활용 능력 등에 대한 전문가 평가, 금융위 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 한시적으로 망분리 규제가 완화된다.

완화를 적용받은 금융회사는 고성능 AI를 활용한 취약점 테스트, 보안 SaaS 솔루션 사용 등 보안 목적으로 AI·SaaS를 활용할 수 있다. 다만 망분리 규제 완화를 보완하는 일정한 보안 규율을 준수해야 하고 테스트 결과 확인된 고성능 AI 보안 위험성의 특성·대응 요령 등 정보를 정부에 보고해야 한다. 금융위는 해당 정보를 전 금융권 사이버보안 강화를 위한 가이드라인 구체화에 활용할 계획이다.

심사는 1~3회차로 나뉘어 진행된다. 1회차는 10개사 이내로 한정해 6~7월 중 마무리하고, 2회차는 10~20개사를 목표로 8~9월 중, 3회차는 4분기 중 추진할 계획이다.

고도의 보안 역량과 AI 활용 능력을 갖춘 금융회사에 대해서는 기획형 혁신금융서비스 등 절차를 통해 망분리 규제를 전면 해제하는 방안도 검토·추진한다.

금융위는 AI·보안 분야 전문가의 면밀한 심사를 통해 보안 역량, AI 활용 능력, 망분리 대체 보안 조치 등 다각도에서 월등한 역량을 갖춘 금융회사를 선별할 계획이다. 선별된 금융회사는 전면적·체계적인 AI 보안 체계 구축은 물론 챗봇 상담·자산관리, 여신심사, 기업금융, 내부통제 등 다양한 분야에서 AI를 폭넓게 활용하는 기회를 갖게 된다.

정책자문과 금융권 현장과의 협의채널도 구축한다. AI·보안·정보보호 등 분야에 정통한 학계·보안업계·전문가로 구성된 '민간 기술자문단'을 꾸린다.

금융위는 금융보안원 내에 'AI 기술개발·대응·인력양성 등 종합 수행하는 '금융AI보안연구소'를 신설한다. 또 중소형 금융회사 지원을 위한 'AI보안 지원센터'도 마련한다.

금융회사의 고성능 AI 보안 위협 체계적 대응을 지원하기 위한 AI 보안 가이드라인은 6월 중 마련해 배포할 예정이다.

가이드라인에는 전산자원 분류 기준, 프로그램 패치 우선순위 등 실무 기준이 포함된다. 적극적인 보안패치 과정에서 불가피하게 발생한 경미한 전산시스템 장애에 대해서는 신속한 복구 및 소비자 보호 조치를 전제로 제재 감경·면책도 추진한다.

권 부위원장은 "고성능 AI 보안위협은 감기 바이러스와 같아서 완전히 차단할 수 있는 대상이 아니라 함께 살아가면서 관리해야 할 위협"이라며 "마스크를 쓰듯 AI 방어 체계를 갖추는 일상적인 사이버 위생이 금융권이 갖춰야 할 보안 습관"이라고 강조했다.

이어 "금융 AX 대전환은 단순한 기술 도입을 넘어 금융서비스의 근본적인 체질 개선을 의미한다"며 "금융권이 AX 전환에 적극적으로 임해 달라"고 주문했다.

bchan@news1.kr