미토스 AI해킹 대응 … 금융위, 망분리 규제 1년간 완화 추진

금융당국이 일정 보안역량을 갖춘 대형 금융사에 한해 보안목적 AI(인공지능) 활용에 대한 한시적 망분리 규제 완화를 추진한다.

25일 금융권에 따르면 금융위원회는 권대영 금융위 부위원장 주재로 ‘고성능 AI 관련 금융권 보안위협 대응 간담회’를 개최했다.

간담회는 최근 이슈화된 ‘미토스’ 등 고성능 AI로 인한 보안위협 상황을 진단했다. 금융회사들이 AI전환 시기의 새로운 보안위협에 효과적으로 대응하고 생산적·혁신적인 금융서비스 제공을 위해 AI를 적극적으로 활용할 수 있도록 하는 제도 개선 방안을 논의했다.

특히 이번 간담회에서는 AI 공격을 AI로 방어하기 위한 규제 개선 방안이 거론됐다. 망분리 규제는 공격 표면을 최소화하는데는 유리하지만, 취약점을 탐지하거나 방어시스템을 구축하는 AI 기반 보안 시스템 마련이 원천적으로 제한되는 한계가 있다는 데 의견이 모아졌다.

금융위는 일정한 보안역량을 갖춘 대형 금융회사를 중심으로 보안목적 AI 활용 시 망분리 규제 긴급완화 조치를 추진한다. 신청 자격은 일정한 규모(총자산 10조원 이상), 종업원수(상시종업원수 1000명 이상)를 갖추고 전자금융거래법에 따라 전담 CISO를 두도록 규율받는 49개 금융회사로 한정했다.

신청한 금융회사에 대해서는 보안관리 역량, AI활용 능력 등에 대한 전문가 평가 등을 바탕으로 금융위원회 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 망분리 규제가 완화된다.

망분리 규제 완화를 적용받은 금융사는 고성능 AI를 활용한 취약점 테스트, 보안SaaS(서비스형 소프트웨어) 솔루션 사용 등 보안목적으로만 AI·SaaS를 활용한다. 망분리 규제 완화를 보완하는 일정 보안규율을 준수해야 하며 ▲테스트결과 확인된 고성능 AI 보안위험성의 특성 ▲공격용도 활용시 예상되는 위험성 ▲효과적인 방어를 위한 대응요령 등 정보를 정부에 보고해야 한다.

또한 고도의 보안역량과 AI 활용능력을 갖춘 금융회사에 대해서는 기획형 혁신금융서비스 등 절차를 통해 망분리 규제를 전면 해제하는 방안도 검토한다는 계획이다. 현재와 같은 망분리 완화 속도로는 급변하는 AI전환 흐름에서 금융권이 뒤처질 수 있다는 점에서다.

금융보안원은 AI 기반 사이버공격 등 새로운 보안 위협의 최신 동향을 신속히 탐지·파악하고 효과적으로 대응할 수 있도록 ’금융 AI보안연구소‘를 신설한다는 계획이다. AI 기반 보안위협에 자체적으로 대응하기 어려운 금융회사 등을 위해 AI 기술·위협 동향 공유, 대응방안 제공, AI 취약점 점검 등 다각적인 지원을 할 수 있도록 ’AI보안 지원센터‘도 마련한다.

이 외에도 금융회사가 고성능 AI를 체계적이고 안전하게 활용할 수 있도록 6월 중으로 ’AI 보안 가이드라인‘을 마련하고 배포할 계획이다.

권대영 금융위 부위원장은 “금융 AI전환은 단순한 기술 도입을 넘어 서비스의 근본적인 체질 개선을 의미한다”며 “정부도 생산적·포용적·신뢰 금융을 위한 AI 활용이 가능하도록 과감한 제도개선을 해나가겠다”고 말했다.