"AI 위협 AI로 막는다"···금융권, 망분리 빗장 풀고 방어선 구축

인공지능 대전환(AX)의 파고 속에서 정부가 금융권의 고성능 AI 보안 위협에 대응하기 위해 파격적인 규제 혁신에 나섰다. 보안 목적의 인공지능(AI) 활용에 한해 '망분리 규제' 예외를 신속히 허용하는 것은 물론, 역량을 갖춘 금융회사에는 망분리를 전면 해제하는 방안까지 검토하기로 했다.

금융위원회는 22일 권대영 금융위원회 부위원장 주재로 AI·보안분야 전문가, 은행·증권·카드 등 주요 금융회사 정보보호최고책임자(CISO)가 참석하는 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 개최했다.

이 자리에서 권 부위원장은 "'AI 공격은 AI로 방어하는' 보안체계를 신속히 구축하고, 생산적‧포용적‧신뢰 금융을 위한 AI 활용이 가능하도록 과감한 제도 개선에 나서겠다"며 "망분리 규제 완화를 속도감 있게 추진하겠다"며 과감한 제도 개선을 예고했다.

정부가 이처럼 속도감 있는 변화를 추진하는 배경에는 글로벌 AI 시장의 폭발적인 성장과 이에 따른 새로운 보안 위협이 자리 잡고 있다.

특히 미국 앤트로픽이 개발한 고성능 AI '미토스(Mithos)'는 기존 보안 솔루션이 놓친 취약점을 손쉽게 찾아내고, 스스로 해킹을 기획·실행하는 능력까지 갖춰 전 세계에 충격을 안겼다.

실제로 국내에서도 정부가 특정 기업 1곳의 동의를 받아 앤트로픽의 '클로드 오푸스 4.7' 모델을 활용한 다양한 시나리오 공격을 실시한 결과, 7건의 취약점이 발견됐다. 전문 해커가 수작업으로 하면 며칠이 걸리는 작업을 10여 분 만에 찾아냈다.

권 부위원장은 "보안위협을 냉정히 직시하고 발빠르게 준비해야 하며, 망분리 규제 등 사이버보안 제도 전반의 속도감 있는 변화가 필요하다는 현장의 목소리를 잘 듣고 있다"며 규제 완화의 필요성을 역설했다.

49개사 망분리 빗장 완화···테스트 결과 전 금융권 공유

이번에 금융당국이 제시한 AI 보안 위협 대응책의 핵심은 '망분리 규제 해제'다. AI 공격을 AI로 방어하기 위한 과감한 규제 개선을 추진한다는 것이다.

국내 금융회사는 해외와 달리 업무용 시스템·전산실 내 정보처리시스템을 인터넷 등 외부 통신망과 분리·차단해야 하는 망분리 규제가 적용된다.

망분리 규제는 금융회사의 정보처리를 위한 시스템이 외부 환경에 노출되는 잠재적인 공격을 최소화하는 데 유리하지만, 고성능 AI 등을 활용해 방어시스템을 구축하는 'AI 기반 보안 시스템' 마련이 원천적으로 제한되는 한계가 있다.

현재도 금융분야 망분리 규제개선 로드맵에 따라 단계적으로 규제 완화가 이루어지고 있지만, AX 전환기에 금융회사가 생산적·혁신적인 AI 기술로 무장하기 위해서는 보다 속도감 있는 규제 개선이 필요하다는 현장의 목소리가 높다.

김태훈 금융위 금융안전과장은 이날 백브리핑에서 "위기를 기회로 삼을 필요가 있다"며 "고성능 AI 보안 위협을 효과적으로 대응하는 것을 넘어 AX전환기에 AI활용을 통해 체질개선을 가속화하는 계기가 돼야 한다"고 강조했다.

이에 금융당국은 일정한 보안역량을 갖춘 금융회사를 대상으로 망분리 규제를 완화한다는 방침이다. 구체적으로는 ▲일정한 규모(총자산 10조원 이상) ▲종업원수(상시종업원수 1000명 이상) ▲전담 CISO를 두도록 규율받는 49개 금융회사로 한정된다.

전문가 평가를 거쳐 1년간 한시적으로 적용되며, 시급성을 고려해 1회차(6~7월, 10개사 이내), 2회차(8~9월, 10~20개사), 3회차(4분기)로 나눠 신속히 진행된다. 선정된 금융회사는 테스트 결과 정보를 보고해야 한다.

김 과장은 "이번 조치는 신청 회사에 대해서만 AI 보안을 강화하는 것이 아니라 금융당국과 금융권이 고성능 AI의 실체를 정확히 알아야 한다는 목적이 있다"며 "어느 정도 능력을 갖춘 금융회사들이 테스트로 얻어낸 결과를 전 금융권의 사이버 보안 강화에 활용할 계획"이라고 말했다.

역량 우수 기업 '전면 해제' 검토···대형사 특혜 우려엔 "성공사례 축적 과정"

여기서 더 나아가 고도의 보안 역량을 갖춘 곳은 혁신금융서비스 절차를 통해 망분리를 '전면 해제'하는 방안도 검토한다. 모든 금융회사에 대해 동일한 수준의 역량을 기대하기는 어려운 만큼 'AI 보안·활용'이라는 두 가지 대원칙을 분명히 했다.

김태훈 과장은 "AI를 잘 활용할 수 있는 회사들은 규제를 버리고 새로운 길을 나아가야겠지만, 그렇지 않다면 망분리는 여전히 든든한 갑옷으로 기능할 수 있는 부분이 있기 때문에 모두에게 규제를 해제하는 건 위험한 부분이 있다"고 설명했다.

정부는 망분리 규제 전면 해제의 경우 일부 금융회사에만 굉장히 큰 혜택이 주어질 수 있는 만큼 꼼꼼하고 면밀한 심사를 실시한다는 방침이다.

실제로 선별된 금융회사는 다른 금융사들보다 앞서 전면적이고 체계적인 AI 보안 체계를 구축할 수 있을 뿐더러, 생산성 향상을 위한 챗봇이나 여신 심사·기업 금융, 내부통제 등 모든 분야에서 AI를 자유롭게 활용할 수 있게 된다.

일각에서는 대형 금융사 위주로 규제 완화가 이뤄지면서 중소 금융사와의 양극화가 벌어질 것이라는 우려도 제기된다. 특히 중소 금융사가 보안에 더 취약한 만큼 차별적으로 느껴질 수 있다는 지적도 나온다.

이에 대해 김 과장은 "보안 격차라고 생각하지 않는다"며 "각 금융회사의 사정에 걸맞는 가장 튼튼한 보안체계를 마련하는 것"이라는 입장을 분명히 했다.

그는 "동일한 잣대로 동일한 보안 위험을 관리하라는 건 말이 안 된다"며 "각자 처한 환경에서 가장 적합한 보안 시스템을 구축하도록 지원해 위협에 효과적으로 대응하는 것이 가장 우선이라고 본다"고 강조했다.

그러면서 "중소 금융사에 대한 보안 위협에 손을 놓겠다는 얘기는 전혀 아니다"라며 "전 금융권에 테스트 결과를 공유한다는 조건하에 진행하는 것이기 때문에 전체적으로 수준이 올라가는 부분이 크다고 생각한다"고 덧붙였다.

이어 "선별된 회사들이 잘 할 수 있다는 증거를 보여야 다른 금융회사들도 더 쉽게 나설 수 있다"며 "성공 사례가 축적되고 새로운 모델이 자리를 잡기 시작하면 금융당국이 새로운 규제 완화를 넓힐 수 있는 기회가 될 수 있어 효과적인 접근법이라고 생각한다"고 말했다.

"7월 패치 대란 막아라"···'경미한 장애' 면책

이번 대책에서는 보안 패치 작업 시 발생하는 전산 사고에 대한 면책 규정도 포함됐다.

지난해 롯데카드 사태에서 알 수 있듯이 실제 금융권에서는 보안 패치 타이밍이 늦어져 해킹을 허용하는 사례가 반복되어 왔다. 그럼에도 금융사들이 패치를 주저했던 이유는 프로그램 업데이트가 내부에 구축된 기존 시스템과 충돌을 일으켜 서비스 마비를 초래하고, 서비스 중단 등의 어려움이 있었기 때문이다.

특히 오는 7월 미국 앤트로픽의 미토스를 활용해 글로벌 주요 금융사들이 참여한 '글리스행 프로젝트'의 보안 취약점 보고서가 발표될 예정이다. 이때 전 세계적으로 엄청난 양의 보안 패치 결과물이 쏟아질 것으로 예상되자 현장의 우려는 더욱 커진 상태다.

이에 정부는 오는 6월 중 IT 자산 분류기준과 프로그램 패치 우선순위 등 실무 기준을 담은 'AI 보안 가이드라인'을 배포하기로 했다. 아울러 적극적인 보안 패치 과정에서 불가피하게 발생하는 경미한 전산 시스템 장애에 대해서는 신속한 복구 및 소비자 보호 조치를 전제로 '제재 감경 및 면책'을 추진하기로 했다.

김태훈 과장은 "보안 패치의 우선순위를 명확히 하고, 사소한 실수나 전산상 어려움에 대해서는 제재를 감경·면책하는 환경을 만들어 달라는 현장의 많은 요청이 있었다"며 "신속한 복구와 소비자 보호조치를 전제로 제재 감경·면책도 추진할 계획"이라고 말했다.