금융 당국이 보안 목적 인공지능(AI·Artificial Intelligence) 활용을 위해 금융사 10곳을 선정하고 망 분리(금융사 내외부 통신망 분리) 규제를 1년간 완화해 준다. 이들 금융사는 이 기간에 내부 통제 방안을 마련하고 글로벌 인증을 받은 고성능 AI와 서비스형 소프트웨어(SaaS·Software as a Service)를 도입해 보안 취약점 테스트를 진행한다.
23일 금융 당국에 따르면 금융위원회는 최근 1차 망 분리 규제 완화 대상으로 선정된 금융기관에 이런 내용의 비조치 의견서를 발급했다. 금융 당국은 최근 신한·하나·우리 등 시중은행과 카카오뱅크(323410), KB증권, NH투자증권, 삼성화재(000810), 한화생명(088350) 등 10개 금융사를 '보안 목적 AI·SaaS 활용 테스트' 1차 금융기관으로 선정했다.
앞서 금융위는 총자산 10조원 이상, 상시 종업원 수 1000명 이상인 금융회사 49곳 가운데 AI와 보안 역량이 뛰어난 금융사 10곳을 우선 선정해 망 분리 규제를 완화하기로 했다. 미국 앤트로픽의 '미토스'와 같은 고성능 AI가 금융기관 사이버 공격에 악용될 수 있다는 우려가 제기되면서 국내 금융회사도 AI를 활용한 보안 역량을 갖춰야 할 필요성이 커졌기 때문이다.
금융 당국은 "최근 고성능 AI 모델로 고도화·지능화된 사이버 위협에 대해 정부 및 유관 기관 협조 하에 신속하고 효과적인 대응 방안을 마련하고자 망분리를 예외적으로 적용할 필요성이 인정된다"고 했다.
비조치 의견서에 따르면 금융사들은 ISO 27001, SOC 2, CSAP, FedRAMP 등 국제·국내 인증을 취득한 AI·SaaS 서비스만 도입할 수 있다. AI·SaaS 정보보호 통제를 위한 상시 관리·체계를 확보하고, 접속·이용 내역, 관리자 활동, 이상 행위 등에 대한 모니터링 및 로그 기록을 1년 이상 수집·보전해야 한다. AI·SaaS 서비스 관련 보안 사고 및 장애 대응 절차도 수립해야 한다.
금융사들은 AI 제공 업체가 인프라, 보안, 업데이트를 대신 관리해 주는 관리형 AI(Managed AI)만 사용할 수 있다. 특히 금융사가 이용한 데이터를 AI 모델 학습에 사용하지 않도록 '미학습 약정'을 필수로 체결해야 한다. 접속 단말기 및 사용자·관리자를 등록·관리하고, AI·SaaS 관리자 계정은 다중 인증 방식을 적용해야 한다. 개인신용정보, 고유식별정보 등 중요 정보 입력·처리·외부 전송·유출 여부를 모니터링하는 통제 시스템도 마련해야 한다.
금융 당국은 이들 금융사에 1년간 보안 목적 AI·SaaS 망분리 규제 예외를 적용하고 이후 테스트 결과를 토대로 규제 전면 해제를 검토한다. 1차 선정 금융사의 사례를 축적한 후 오는 3분기 중 2차 대상도 선정할 방침이다.