金融委員会が金融会社のネットワーク分離規制を緩和し、セキュリティ目的の人工知能(AI)使用を許容する方針だ。
金融委は22日、クォン・デヨン副委員長主宰で、AI・セキュリティ分野の専門家と銀行・証券・カードなど主要金融会社の情報保護最高責任者(CISO)が出席する中、「高性能AI関連の金融圏セキュリティ脅威対応懇談会」を開催した。
金融委はセキュリティ目的のAI活用についてはネットワーク分離規制を緩和することにした。これにより、高性能AIを活用した脆弱性点検や、セキュリティSaaS(サービスとしてのソフトウエア)ソリューションによる防御システム構築など、セキュリティ目的のAI活用を認める。
AI構築費用を政府が別途支援しないため、申請資格は一定水準以上のセキュリティ能力を備えた金融会社に限定する。総資産10兆ウォン以上、常時従業員1000人以上で、電子金融取引法に基づき専任の情報保護最高責任者(CISO)を置かなければならない49社の金融会社が対象だ。申請した金融会社については、セキュリティ管理能力とAI活用能力などに関する専門家評価を経て、金融委への報告とノーアクションレター発給手続きを通じ、1年間の時限でネットワーク分離規制を緩和する。
規制緩和が適用される金融会社は、高性能AIを用いた脆弱性テストやセキュリティSaaSソリューションの活用など、セキュリティ目的のAI・SaaS活用が可能になる。代わりに、ネットワーク分離規制の緩和を補完する一定水準のセキュリティ規律を順守し、テスト結果で確認された高性能AIのセキュリティリスク特性と、攻撃用途で活用した場合に想定されるリスク、効果的な防御対応要領などを政府に報告しなければならない。政府はこの情報を金融圏全般のサイバーセキュリティ強化ガイドラインの具体化に活用する計画だ。
申請受け付けと審査は1〜3回に分けて進める。1回目は高性能AIのセキュリティ脅威に対する緊急性を考慮し、テスト準備状況とセキュリティ管理能力などを勘案して、10社以内の金融会社を対象に6〜7月中に終える計画だ。2回目は追加申請会社と補完準備が必要な金融会社を含めて10〜20社を目標に8〜9月中に推進し、3回目は残りの申請需要を考慮して第4四半期中に実施する予定だ。
これとは別に、当該プログラムに申請していない金融会社に対しても、金融保安院を通じ、ネットワーク分離規制の緩和なしに可能な外部攻撃面を対象とするAI脆弱性点検を支援する計画だ。7月まで最大17社が支援対象だ。高度なセキュリティ能力とAI活用能力を備えた金融会社については、ネットワーク分離規制を全面解除する案も検討する。企画型の革新金融サービス手続きなどを通じて推進する計画だ。
金融会社の体系的な対応を支援するためのガイドラインも6月中に用意する。ガイドラインには、金融会社がIT資産管理体制を自ら点検・補完できるよう、電算資源の分類基準やプログラムパッチの優先順位などの実務基準を盛り込む予定だ。金融委はIT資産管理能力の強化に向け、現場支援や説明会などの個別支援も並行することにした。積極的なセキュリティパッチの過程でやむを得ず発生した軽微な電算システム障害については、迅速な復旧と消費者保護措置を前提に、制裁の減免や免責も進める。
今後、金融委は優れたセキュリティ能力を備えたと判断される金融会社に対して、ネットワーク分離を全面解除する案を認める方針だ。全面解除の基準は業界との議論を経て確定する予定だ。