빗장 풀리는 금융 망분리 … AI 혁신 뒷면엔 '제로 트러스트' 시험대

성역으로 여겨졌던 금융권의 망분리 빗장이 풀리고 있다. 글로벌 생성형 인공지능(AI) 경쟁에서 뒤처질 수 없다는 ‘생존 위기감’이 규제 패러다임의 대전환을 이끌어낸 결과다. 다만 자유의 대가로 따라오는 보안 리스크와 사후 책임은 온전히 금융사 몫이 되면서, ‘아무도 믿지 않는다’는 ‘제로 트러스트(Zero Trust)’ 보안 모델 안착이 핵심 과제로 떠올랐다.

2일 금융권에 따르면 금융위원회는 은행권 망분리 규제 일시 완화를 추진 중이다. 보안목적 AI 활용 시 1년간 망분리 규제 완화를 추진하고, 보안과 AI 활용 능력을 갖춘 금융사에는 망분리 규제 전면 해제까지 검토한다는 방침이다.

◆ 전산 해킹 막기 위한 방패 … 이제 AI혁신 ‘걸림돌’

금융권 망분리는 2013년 전산 대란을 계기로 2014년부터 의무화됐다. 금융회사 내부 직원 PC는 인터넷 선과 완전히 차단된 업무용 PC와 인터넷만 가능한 인터넷용 PC로 구분되는 철저한 망분리가 이뤄졌다. 이후 스마트폰 대중화와 더불어 클라우드·빅데이터가 확산되고, 규제 샌드박스 형태로 SaaS(서비스형 소프트웨어)가 도입되면서 엄격한 갈라파고스식 규제에 균열이 생기기 시작했다.

고성능 AI에 따른 보안 위협이 확산되면서 금융당국은 기존 망분리 체계와 우회적인 샌드박스 수준으로는 대응할 수 없다는 결론을 냈다. 미토스와 같은 파괴적인 글로벌 생성형 AI기술을 도입해 금융 경쟁력을 키우려면 망분리 규제를 과감히 깨고 인터넷망을 열어야 한다는 논리로 연결된 것.

미토스나 챗GPT 등 초거대 AI 모델을 은행 업무에 활용하려면 클라우드 서버와 데이터를 주고받는 API 연동이 필수적이지만, 망분리가 금융사들의 AI 활용에 제약을 가하면서 규제 완화는 생존의 문제로 바뀌었다. 글로벌 금융사들은 거대언어모델(LLM)을 연동해 혁신 서비스를 내놨지만, 국내 은행들은 외부 API를 호출해야하는 AI를 내부망에서 쓸 수 없었기 때문이다.

◆ 단계적 개방에 기대와 우려 공존 … 책임은 온전히 은행 몫

금융당국은 시대적 변화를 수용해 '단계적 망분리 완화와 자율보안 체계로의 전환' 정책을 본격화했다. 다만 신청 자격은 자산 10조원 이상, 전담 CISO(정보보호최고책임자)를 두도록 규율받는 대형 회사 49곳으로 한정했다. 망분리 해제 조치에 금융사들도 즉각 반응하면서 지난달 29일까지 이뤄진 1차 신청에서만 20개사가 몰린 것으로 알려졌다.

단계적 망분리는 해외 사례를 벤치마켕해 데이터 중요도에 따라 규제를 차등 적용하는 ‘데이터 등급제’ 방식이 유력하다. 고객 정보와 금융거래 정보 등 핵심망은 엄격하게 통제하는 한편, 비식별 데이터에 기반한 업무망은 클라우드와 생성형AI 연동을 위해 과감하게 개방하는 취지다.

금융권 내부에서는 기대와 우려가 공존하고 있다. 특히 기획과 마케팅, 개발 등 부서에서는 크게 환영하는 분위기다. 생성형AI 기반 개인화된 혁신 서비스 개발 속도가 높아지고, IT부문 비용절감과 생산성이 크게 확대된다는 점에서다.

반면 보안 담당자(CISO)들의 고심은 깊어지고 있다. 국경 없는 사이버 공격이나 내부 직원에 의한 데이터 유출 위험성이 커진 데다, 사고 발생 시 감당해야 할 책임의 무게가 전적으로 은행에 전가되기 때문이다. 규제당국이 쳐준 울타리가 사라진 만큼, 보안 사고가 터지면 천문학적인 징벌적 손해배상과 과징금 폭탄을 고스란히 맞아야 한다.

망분리 완화 성패는 은행권이 ‘제로 트러스트’ 보안 체계를 얼마나 완성도 있게 내재화하느냐에 달렸다는 분석이 나온다. 단순히 다중인증(MFA)을 강화하는 수준을 넘어, 데이터 중요도별 분류체계를 재정립하고 시스템 전반의 취약점을 사전에 식별·통제하는 고도화된 통제 인프라가 필수적이다.

금융권 관계자는 “망분리 규제 완화는 AI 혁신을 위한 거대한 기회지만 자체적인 방어 역량이 받쳐주지 않으면 독이 될 수 있다”며 “무조건적인 차단에 의존하던 과거 관행에서 벗어나 전사적인 내부통제 시스템과 제로 트러스트 모델을 뼈대부터 다시 구축해야 할 시점”이라고 강조했다.