금융회사의 생성형 인공지능(AI) 보안 테스트 및 패치 과정에서 경미한 전산 장애가 발생하더라도 신속하게 복구하면 해당 금융회사와 담당 임직원은 제재를 면제받을 수 있게 된다. 앤트로픽의 '미토스' 등 프런티어 AI의 등장으로 사이버 보안 위협이 커지자, 금융권의 적극적인 보안 대응을 유도하겠다는 취지다.

금융위원회는 지난달 30일 면책심의위원회를 열고 'AI 보안 테스트·패치 과정 발생 전산 장애에 대한 면책 조치'를 의결했다고 2일 밝혔다. 또 금융사를 대상으로 '프런티어 AI 보안 위협 금융 분야 대응 가이드라인'도 배포했다.

서울 종로구 정부서울청사 내 금융위원회. /뉴스1

이에 따라 금융사는 보안 목적 AI를 활용해 테스트하거나 금융위·금융감독원·금융보안원 등이 전파한 보안 취약점에 대응해 보안 패치를 실행하다가 전산 장애를 일으키더라도 제재 대상에서 제외된다.

다만 금융회사는 전산 장애 발생 즉시 신속한 복구와 소비자 보호 조치를 이행해야 한다. 사전 테스트와 피해 확산 방지 등을 담은 작업 계획서도 마련해야 한다. 면책 여부는 전산 장애의 경중과 복구 조치, 소비자 보호 조치 등을 종합적으로 고려해 판단한다. 고의가 없고 금전 피해가 1억원 미만이며 시스템 장애 시간이 4시간 이내이고 고객 정보 유출이 1만건 미만인 경우 등이 기준이 된다. 신용정보법상 개인신용정보가 유출된 사고는 면책 대상에서 배제된다.

금융위는 금융사가 AI 보안 위험에 적극적으로 대응할 수 있도록 6개 분야 대응 요령이 담긴 가이드라인도 배포했다. 가이드라인에는 경영진 책임 강화와 취약점 및 패치 관리, 자산·공급망 관리 등이 담겼다.

금융위 관계자는 "앞으로도 프론티어 AI와 관련한 국내외 상황 변화를 반영해 유연하고 신속하게 가이드라인을 보완해 나가겠다"고 했다.