한경 로앤비즈의 'Law Street' 칼럼은 기업과 개인에게 실용적인 법률 지식을 제공합니다. 전문 변호사들이 조세, 상속, 노동, 공정거래, M&A, 금융 등 다양한 분야의 법률 이슈를 다루며, 주요 판결 분석도 제공합니다.
금융권의 인공지능(AI) 도입이 점차 활발해지고 있다. 망분리 규제에 따른 여러 실무적인 문제점에도 불구하고 많은 금융회사들이 AI 도입에 힘쓰고 있다. 챗봇 상담, 자산관리, 여신심사, 내부통제에 이르기까지 AI가 침투하지 않는 업무 영역을 찾기가 더 어려울 정도다.
‘미토스 충격’…AI 악용 우려 커져
그런데 AI의 발달은 그림자 역시 갖고 있다. 올해 4월 미국 앤트로픽의 ‘미토스(Mythos) preview’ 버전이 사이버보안 부문에서 탁월한 성능을 보인 것으로 알려지면서, 고성능 AI가 해킹에 악용될 경우에 대한 불안감이 빠르게 확산됐다. 미토스는 보안성이 높기로 정평이 난 OpenBSD 운영체제에서 27년간 발견되지 않았던 취약점을 단 1분 내외의 시간에 파악했다고 한다.
AI가 시스템 취약점 분석 및 침투 목적으로 악용돼, 사이버 보안에 문제가 발생할 수 있다는 지적은 기존부터 지속적으로 제기돼 왔다. ‘미토스 충격’으로 인해 이런 위험이 더 이상 미래의 일이 아니라는 것을 모두가 인식하게 된 것이다.
이처럼 AI의 취약점 탐지 성능이 비약적으로 발전하고 AI를 활용한 공격 자동화도 가능해지면서, 이를 막기 위한 정교한 방어체계 구축을 위해서도 AI를 보다 적극적으로 이용하지 않을 수 없는 상황이 됐다. 보안 강화를 위해서도 AI를 이용하지 않으면 안되는 상황이 된 것이다.
문제는 국내 금융권이 처한 제도적 조건이다. 국내 금융회사엔 업무용 시스템·전산실 내 정보처리시스템을 인터넷 등 외부 통신망과 분리·차단해야 하는 망분리 규제(전자금융감독규정 제15조제1항제3호·제5호)가 적용된다. 망분리는 외부 공격을 최소화하는데는 유리하다. 그러나 동시에 고성능 AI를 활용한 취약점 탐지나 방어시스템 구축 역시 제한되는 한계가 있다. 보안을 지키기 위한 장벽이 오히려 새로운 방어수단의 도입을 가로막는 딜레마가 발생한 것이다.
금융당국, 망분리 규제 완화 추진
이에 대대 금융감독당국은 올해 5월 22일 ‘고성능 AI 관련 금융권 보안위협 대응 간담회’를 열고 종합 대응방안을 내놨다. 핵심은 망분리 규제의 신속한 완화와 보안 인프라의 전면적 보강을 동시에 추진하는 데 있다.
먼저 보안목적 AI 활용에 한해 망분리 규제를 긴급 완화한다. 총자산 10조원 이상, 상시 종업원수 1000명 이상인 회사를 대상으로 신청을 받아 ① AI를 활용한 내부 취약점 확인 ② 보안 SaaS 솔루션을 통한 방어시스템 구축 등 보안목적에 한해 한시적으로 비조치의견서를 통해 망분리 규제 완화를 적용받는다.
또한 금융감독당국은 고도의 보안역량과 AI 활용능력을 갖춘 금융회사에 대해서는 망분리 규제 전면 해제까지 검토 중이라고 한다. 고도의 보안역량 및 AI 활용능력 등을 갖춘 금융회사를 선별하여 망분리 규제를 전면 해제한 뒤, AI 기반 보안체계 전환 외에도 여신심사, 기업금융 등 대고객 서비스를 위해서도 AI를 폭넓게 활용할 수 있도록 하겠다는 것이다.
이번 대응방안은 과거에 비교하여 진일보한 시도다. 금융권의 AI 활용을 보다 가속화할 수 있을 것으로 보인다. 다만 망분리 완화의 속도에 있어서는 향후에도 많은 고민이 계속될 수밖에 없을 것으로 보인다. 망분리가 능사는 아니지만, 동시에 모든 금융회사가 AI 등을 활용한 고도의 보안 시스템을 갖추기는 어려운 것도 사실이다. 이런 금융회사들의 경우, 규제 완화가 오히려 보안역량을 약화시키는 계기가 될 수도 있을 것이기 때문이다.
관련뉴스
