'미토스' 위협 AI로 방어…대형 금융사 망분리 규제 1년간 완화

미국 앤트로픽의 자율형 인공지능(AI) 모델 '미토스' 같은 고성능 AI로 인한 보안 위험에 대응하고자 정부가 일정 역량을 갖춘 금융회사에 망분리 규제를 1년간 풀어줍니다.

AI를 활용해 AI 공격을 방어하려면 필요한 조치라는 의견을 반영한 것입니다.

국내 금융회사는 업무용 시스템·전산실 내 정보처리시스템을 외부 통신망과 분리·차단해야 하는 '망분리 규제'를 적용받습니다.

금융위원회는 지난 22일 권대영 부위원장 주재로 인공지능(AI)·보안분야 전문가, 주요 금융회사 정보보호최고책임자를 한데 모아 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 열었다고 밝혔습니다.

간담회에서는 금융사가 인공지능 대전환(AX) 시기의 새로운 보안위협에 대응하고 생산적·혁신적인 금융서비스 제공을 위해 AI를 적극 활용하는 제도 개선 방안이 논의됐습니다.

'AI 공격은 AI로 방어하는' 보안 체계 구축이 핵심입니다.

금융위원회는 보안 목적에 한해 망분리 규제를 긴급 완화하는 조치를 추진합니다.

신청 자격은 일정한 보안 역량을 갖춘 금융회사로 한정합니다.

일정한 규모(총자산 10조 원 이상), 종업원수 (상시종업원수 1천 명 이상)를 갖추고 전담 정보보호최고책임자(CISO)를 둔 49개 금융회사가 대상입니다.

보안관리 역량, AI활용 능력 등에 대한 전문가 평가를 바탕으로 금융위원회 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 한시적으로 망분리 규제가 완화됩니다.

신청접수·심사는 1∼3회차로 나눠 진행됩니다.

1회차는 테스트 준비상황, 보안관리 역량 등을 고려해 10개사 이내로 한정해 6∼7월 중 마무리합니다.

2회차는 10∼20개사를 목표로 8∼9월 중 추진하고, 3회차는 4분기로 계획하고 있습니다.

선정된 회사는 고성능 AI를 활용한 취약점 테스트와 보안 서비스형 소프트웨어(SaaS·클라우드 기반의 소프트웨어 제공 모델) 솔루션 사용이 가능해지지만, 망분리 규제 완화를 보완하는 보안규율을 준수하고 테스트 결과 확인된 고성능 AI 보안위험과 대응요령 등을 정부에 보고해야 합니다.

정부는 이 정보를 전 금융권 사이버보안 강화를 위해 적극적으로 활용할 예정입니다.

금융위원회 관계자는 최근 기자들과 만나 "감당할 수 있는 금융사는 지원해주고 거기서 발견되는 정보는 그 회사를 위한 게 아니라 금융권 내 (전반적으로 확산)하는 거라 (금융권의 사이버) 보안 수준이 전체적으로 올라갈 것"이라고 말했습니다.

또 "AI를 잘 활용하고 보안 체계가 잘 잡힌 회사는 AI를 활용해 보안을 강화하는 게 (좋고) 그런 준비가 제대로 안 된 회사는 망분리를 유지하는 게 현시점에선 보안에 유리할 수 있다"고 전했습니다.

미신청 회사에는 망분리 규제 완화 조치가 필요 없는 '외부 공격표면 대상' AI 취약점 점검을 지원합니다.

고도의 보안역량과 AI 활용능력을 갖춘 금융사에는 망분리 규제를 전면 해제하는 방안도 검토·추진합니다.

금융위는 "선별된 금융회사는 타 금융회사에 앞서 ▲ 전면적·체계적인 AI 보안체계 구축 ▲ 금융회사의 생산성 향상을 위한 챗봇상담·자산관리, 여신심사, 기업금융, 내부통제 등 금융서비스 마련에 AI를 폭넓게 활용하는 기회를 가질 수 있다"고 설명했습니다.

과감히 규제를 풀어 성공 사례를 축적하고 이를 금융권 전반으로 단계적으로 확산한다는 구상입니다.

망분리 완화 등 정책자문과 금융권 현장 애로사항을 수렴할 협의 채널도 만듭니다.

'민간 기술자문단'은 AI·보안·정보보호 등에 정통한 학계·보안업계·전문가로 구성되며 망분리 완화, 고성능 AI 보안위협 관련 대응 과제에 정책자문을 합니다.

지난달 구성된 '고성능 AI 보안위협 금융권 상황대응반'도 수시로 가동합니다.

중소형 금융회사를 위한 AI 보안 지원 기능도 대대적으로 강화합니다.

새로운 보안 위협의 최신 동향을 신속히 파악·대응하도록 '금융 AI보안연구소'를 신설하고, AI 기반 보안위협에 자체적으로 대응하기 어려운 금융회사를 지원하는 'AI보안 지원센터'도 마련합니다.

고성능 AI에 대비해 금융회사가 준수해야 할 대응 요령을 담은 AI 보안 가이드라인을 다음 달 중으로 마련합니다.

아울러 보안패치 등 과정에서 발생한 경미한 전산시스템 장애에는 신속한 복구와 소비자 보호조치를 전제로 제재 감경·면책을 추진하고, 중소형 핀테크 기업에 보안 체계 강화 지원을 추진합니다.

금융위원회는 관계부처와 협업해 고성능 AI와 관련한 국제 논의 동향을 확인하고 보안 강화를 위해 금융회사에 필요한 조치는 적극적으로 전달할 계획이라고 밝혔습니다.

(사진=연합뉴스)