"AI 공격은 AI로 막는다"…금융권 망분리 규제 푼다

HOME 금융 정책

"AI 공격은 AI로 막는다"…금융권 망분리 규제 푼다

대형 금융사 대상 보안 SaaS·외부 AI 활용 허용…금융권 망분리 규제 푼다

이 기사는 2026년 05월 24일 12시 00분 유료콘텐츠서비스 딜사이트 플러스에 표출된 기사입니다.

추천키워드

#금융위 #금감원 #망분리 #AI

실시간 속보 랭킹뉴스

[딜사이트 임초롱 기자] 정부가 고성능 AI(인공지능)의 등장으로 커진 금융권의 사이버 보안 위협에 대응하기 위해 금융 분야의 망분리 규제를 전격 완화한다. AI가 스스로 취약점을 탐색하고 공격 시나리오를 설계하는 수준까지 고도화되면서, 기존의 인적 대응 중심 보안 체계만으로는 위협에 대응하기 어렵다는 판단에서다.

24일 금융당국에 따르면 권대영 금융위원회 부위원장은 지난 22일 금융감독원, 금융보안원, AI·보안 민간 전문가 및 주요 금융회사 CISO(정보보호최고책임자) 등과 함께 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 개최했다. 이번 간담회는 미국의 생성형 AI인 '미토스' 등 고성능 AI가 사이버 해킹 공격에 악용될 경우 발생할 수 있는 금융권의 리스크를 점검하고 제도 개선 방안을 논의하기 위해 마련됐다.

미국의 생성형 AI인 '미토스'와 같은 고성능 AI는 기존 프로그램으로 찾아내기 어려웠던 오래된 보안 취약점까지 손쉽게 탐지해 공격에 활용할 수 있는 것으로 알려졌다. 단순 반복 공격을 넘어 침투 경로 탐색과 우회 시도까지 자동화할 수 있어 금융권의 새로운 보안 위협으로 부상하고 있다는 평가다. 이에 대응하기 위해 국내 금융회사들은 AI 공격을 AI로 방어할 수 있도록 외부 통신망과 차단된 기존 망분리 규제를 개선해달라고 금융당국에 요청해왔다.

정부는 현장의 목소리를 반영해 보안 목적의 AI 활용에 대해 망분리 규제를 긴급 완화하기로 했다. 외부 AI 모델이나 보안 SaaS(서비스형 소프트웨어) 솔루션을 활용해 취약점을 탐지하고 방어 체계를 구축할 수 있도록 제한적인 실증 환경을 허용하는 방식이다.

다만 망분리 규제가 완화되는 만큼 신청 자격은 엄격히 제한된다. 총자산 10조원 이상, 상시 종업원 수 1000명 이상을 갖추고 전자금융거래법에 따라 전담 CISO를 둔 49개 금융회사가 대상이다. 은행·증권·보험·카드사 등 대형 금융회사가 주 대상이며, 이들 가운데 신청 기업을 대상으로 전문가 평가와 금융위 보고 절차를 거쳐 1년간 한시적으로 규제 특례를 부여한다.

규제 완화를 적용받은 금융사는 보안 목적의 AI를 활용하되 일정한 보안 규율을 준수해야 한다. 테스트 과정에서 확인된 위험 요소와 대응 사례, 방어 체계 운영 결과 등도 당국에 공유해야 한다. 금융당국은 이를 바탕으로 향후 제도 개선 여부를 검토할 방침이다.

신청 접수는 3회차로 나눠 진행된다. 1회차는 테스트 준비 상황과 보안 관리 역량을 고려해 10개사 이내로 한정해 6~7월 중 마무리할 계획이다. 이어 8~9월 중 2회차(10~20개사), 4분기 중 3회차 심사를 진행한다.

프로그램에 참여하지 않는 금융회사에 대한 지원책도 병행된다. 금융보안원은 오는 7월까지 최대 17개사를 대상으로 '외부 공격표면 대상' AI 취약점 점검을 지원할 예정이다.

정부는 고도의 보안 역량과 AI 활용 능력을 갖춘 금융회사를 선별해 기획형 혁신금융서비스 절차 등을 통한 '망분리 규제 전면 해제' 방안도 검토하기로 했다. 선별된 금융회사는 AI 기반 보안 체계를 업무 전반에 적용하고 챗봇 상담, 자산관리, 여신심사, 기업금융, 내부통제 등 다양한 영역에서 AI 활용 범위를 넓힐 수 있게 된다.

조직과 기능 측면의 지원 체계도 강화된다. 학계와 보안업계 전문가로 구성된 '민간 기술자문단'을 신설해 금융사의 보안 역량을 평가하고 정책 자문을 수행한다. 지난 4월 구성된 '고성능 AI 보안위협 금융권 상황대응반'도 수시로 개최해 소통 창구로 적극 활용할 계획이다.

아울러 금융보안원 내에는 최신 사이버 공격 동향을 탐지·분석하는 금융AI보안연구소가 신설된다. 자체 대응 역량이 부족한 중소형 금융회사와 핀테크 기업을 지원하기 위한 AI보안 지원센터도 함께 운영할 방침이다.

오는 6월에는 금융회사가 스스로 IT 자산 관리 체계를 점검할 수 있도록 전산자원 분류 기준과 프로그램 패치 우선순위 등을 담은 'AI 보안 가이드라인'도 배포된다. 적극적인 보안 조치 과정에서 불가피하게 발생한 경미한 전산 장애에 대해서는 신속한 복구와 소비자 보호를 전제로 제재를 감경하거나 면책해주는 방안도 추진된다.

또 상대적으로 보안 투자 여력이 부족한 중소형 핀테크 기업에는 AI 기반 보안 점검 비용과 취약점 탐지 도구를 지원해 금융권 전반의 대응 역량을 끌어올린다는 방침이다.

권 부위원장은 "고성능 AI 보안 위협은 감기 바이러스와 같아서 완전히 차단할 수 있는 대상이 아니라 함께 살아가며 관리해야 할 위협"이라며 "마스크를 쓰듯 AI 방어 체계를 갖추는 일상적인 사이버 위생을 금융권이 보안 습관으로 갖춰야 한다"고 강조했다. 이어 "정부도 AI 활용이 가능하도록 과감한 제도 개선을 해나가겠다"고 덧붙였다.