금융위원회가 금융사 망분리 규제 완화를 통해 보안 목적 인공지능(AI) 사용을 허용할 방침이다.
금융위는 22일 권대영 부위원장 주재로 AI·보안 분야 전문가와 은행·증권·카드 등 주요 금융회사 정보보호최고책임자(CISO)가 참석한 가운데 '고성능 AI 관련 금융권 보안위협 대응 간담회'를 개최했다.
금융위는 보안 목적 AI 활용에 대해서는 망분리 규제를 완화하기로 했다. 이를 통해 고성능 AI를 활용한 취약점 점검과 보안 서비스형 소프트웨어(SaaS) 솔루션을 통한 방어 시스템 구축 등 보안 목적의 AI 활용을 허용한다.
AI 구축 비용을 정부가 별도 지원하지 않는 만큼, 신청 자격은 일정 수준 이상의 보안 역량을 갖춘 금융사로 제한한다. 총자산 10조원 이상, 상시 종업원 1000명 이상으로 전자금융거래법에 따라 전담 정보보호최고책임자(CISO)를 둬야 하는 49개 금융사가 대상이다. 신청 금융사에 대해서는 보안 관리 역량과 AI 활용 능력 등에 대한 전문가 평가를 거쳐 금융위 보고와 비조치의견서 발급 절차를 통해 1년간 한시적으로 망분리 규제를 완화한다.
규제 완화 적용 금융사는 고성능 AI를 활용한 취약점 테스트와 보안 SaaS 솔루션 활용 등 보안 목적의 AI·SaaS 활용이 가능해진다. 대신 망분리 규제 완화를 보완하는 일정 수준의 보안 규율을 준수해야 하며, 테스트 결과 확인된 고성능 AI 보안 위험 특성과 공격 용도 활용 시 예상 위험, 효과적 방어 대응 요령 등을 정부에 보고해야 한다. 정부는 이 정보를 금융권 전반의 사이버보안 강화 가이드라인 구체화에 활용할 계획이다.
신청 접수와 심사는 1∼3회차로 나눠 진행된다. 1회차는 고성능 AI 보안 위협에 대한 시급성을 고려해 테스트 준비 상황과 보안 관리 역량 등을 감안해 10개사 이내 금융회사를 대상으로 오는 6~7월 중 마무리할 계획이다. 2회차는 추가 신청 회사와 보완 준비가 필요한 금융회사를 포함해 10∼20개사를 목표로 8~9월 중 추진하고, 3회차는 나머지 신청 수요를 고려해 4분기 중 진행할 예정이다.
이와 별도로 해당 프로그램에 신청하지 않은 금융사에 대해서도 금융보안원을 통해 망분리 규제 완화 없이 가능한 외부 공격표면 대상 AI 취약점 점검을 지원할 계획이다. 7월까지 최대 17개사가 지원 대상이다. 고도의 보안 역량과 AI 활용 능력을 갖춘 금융회사에 대해서는 망분리 규제를 전면 해제하는 방안도 검토한다. 기획형 혁신금융서비스 절차 등을 통해 추진할 계획이다.
금융사들의 체계적 대응을 지원하기 위한 가이드라인도 오는 6월 중 마련한다. 가이드라인에는 금융회사들이 IT 자산 관리 체계를 자체 점검·보완할 수 있도록 전산 자원 분류 기준과 프로그램 패치 우선순위 등 실무 기준이 포함될 예정이다. 금융위는 IT 자산 관리 역량 강화를 위해 현장 지원과 설명회 등 맞춤형 지원도 병행하기로 했다. 적극적인 보안 패치 과정에서 불가피하게 발생한 경미한 전산 시스템 장애에 대해서는 신속한 복구와 소비자 보호 조치를 전제로 제재 감경이나 면책도 추진한다.
추후 금융위는 우수한 보안 역량을 갖춘 것으로 판단되는 금융사에 대해 망 분리를 전면 해제하는 방안을 허용할 방침이다. 전면 해제 기준은 업계와의 논의를 거쳐 확정될 예정이다.