망분리 완화에 열린 금융보안 시장…MS, 디펜더·코파일럿 앞세워 공.....
최용 한국MS 시니어 시큐리티 스페셜리스트가 6월24일 서울 종로구 사무실에서 열린 ‘AI 시대 금융 보안전략 세미나’에서 금융권 보안 업무에 적용 가능한 MS 솔루션을 설명하고 있다. [사진=이안나기자][디지털데일리 이안나기자] 금융권 보안 시장 빗장이 풀리고 있다. 보안 목적 인공지능(AI) 활용을 위해 망분리 규제가 완화되면서 그동안 닫혀 있던 금융사 내부망이 외부 솔루션에 열리기 시작했다.최근 1차 시범 대상으로 10개 금융사가 선정되자 외국계 보안 기업들 공략이 빨라졌고 도입을 검토하는 금융사들 문의도 분주해지고 있다. 완화가 1년 한시인 데다 1차 선정이 보안 역량 검증의 의미를 갖는 만큼 자격을 갖춘 금융사로서는 후순위를 기다리기보다 일찍 합류할 유인이 크다.한국 마이크로소프트(MS)는 24일 서울 종로구 사무실에서 ‘AI 시대 금융 보안전략 세미나’를 열고 금융권 보안 시장 공략에 나섰다. 이날 회사는 AI가 공격을 보조하는 도구를 넘어 스스로 공격을 수행하는 단계로 진화했다고 진단했다. 제로데이 취약점이 발견된 지 평균 8시간 만에 실제 공격으로 이어질 만큼 속도가 빨라져 사람 개입을 전제로 한 기존 대응 체계로는 한계가 있다는 것이다.◆ 1년 한시 완화…6대 보안 업무에 외부 AI 허용이번 세미나 배경엔 지난 5월22일 금융감독원이 발표한 망분리 긴급 완화 조치가 있다. 보안 목적에 한해 외부 AI·클라우드 기반 서비스형 소프트웨어(SaaS)를 활용할 수 있도록 길을 연 것이다. 앞서 4월 시행세칙 개정으로 단말기·업무망에서의 SaaS 이용이 허용된 데 이어 이번에는 전산센터 내부 서버 영역까지 외부 AI 활용 범위가 넓어졌다.제도는 비조치의견서 형태로 단계적으로 진행된다. 신청 자격은 총자산 10조원 이상, 상시 종업원 1000명 이상, 전담 CISO를 둔 49개사로 한정됐고 완화 기간은 1년이다. 금감원은 1차로 10개사를 선정하고 1년간 망분리 의무 위반으로 제재하지 않는다는 법령해석을 내렸다. 은행 4곳, 증권 3곳, 보험 2곳, 카드 1곳이 선정됐으며 은행권에서는 신한·하나·우리·카카오뱅크가 포함됐다. 2차는 8~9월 중 선정하고 3차는 연말까지 진행된다외부 AI·SaaS 활용이 허용된 보안 업무는 여섯 가지다. 취약점 탐지·모의해킹, 보안관제 고도화, 로그 수집·위협 분석, 침해사고 대응, 소스코드 취약점 분석, 클라우드 보안이다. 정보보호와 무관한 일반 업무는 대상에서 제외됐다.◆ AI 위협엔 AI로…엠대시부터 에이전트 관리까지MS가 이날 내놓은 솔루션도 이 여섯 개 업무에 초점을 맞췄다. ‘AI 공격은 AI로 막는다’는 접근이다. 대표 솔루션으로 소개된 엠대시(MDASH)는 소스코드의 빈틈을 찾는 취약점 분석 시스템이다. 거대 모델 하나에 코드를 통째로 맡기지 않고 성격이 다른 여러 상용 AI와 100여 개 에이전트가 분업한다.한쪽이 “취약점”이라고 지목하면 다른 쪽이 검증하고 실제로 공격이 먹히는지 가상 환경에서 돌려본 뒤 고칠 코드까지 붙여준다. 알려진 결함을 패턴으로 걸러내던 기존 방식과 달리 미발견 취약점(제로데이)까지 겨냥한다는 게 회사 측 설명이다. 미국 국방고등연구계획국(DARPA)의 AI 사이버 챌린지 우승팀 출신이 개발을 맡았고, 연말 출시 후에는 단말 보안 솔루션 디펜더에 통합돼 제공된다.‘시큐리티 코파일럿’은 보안 운영의 반복 작업을 떠맡는 솔루션이다. 하루 수백 건씩 밀려드는 경보 중 먼저 볼 것을 추려주고 전문 검색 언어를 모르는 담당자도 평범한 문장으로 물으면 위협을 추적할 수 있게 해준다. 다만 코파일럿은 사용자가 원래 가진 접근 권한 범위 안에서만 데이터를 다루며 입력 정보가 모델 학습에 쓰이지 않는다는 점을 MS는 함께 강조했다. 금융권이 민감하게 보는 데이터 통제 요건을 의식한 설명이다.한국MS가 6월24일 서울 종로구 사무실에서 ‘AI 시대 금융 보안전략 세미나’에서 시큐리티 코파일럿에서 바로 사용할 수 있는 보안 업무용 프롬프트 예시를 소개하고 있다. [사진=이안나기자]‘에이전트365’는 늘어나는 에이전트 자체를 관리하는 플랫폼이다. MS는 시장조사기관 IDC를 인용해 2028년이면 운영되는 AI 에이전트가 13억~15억개에 이를 것으로 내다봤다. 이 정도 규모에선 일일이 권한을 주고 사람이 들여다보는 방식이 불가능해진다는 것이다. 에이전트365는 조직의 모든 에이전트를 한 화면에 모아 누가 만들었고 어떤 데이터를 건드리는지 추적하고, 직원이 몰래 PC에 깔아둔 ‘섀도 AI’까지 찾아낸다. MS뿐 아니라 아마존웹서비스(AWS) 등 타사 플랫폼 에이전트도 끌어와 관리하고 위험이 감지되면 작동을 멈추는 기능도 개발 중이다.신기술을 앞세웠지만 정작 MS가 먼저 권고한 건 화려한 AI가 아니라 기본기였다. 당장 망분리 완화를 신청할 금융사라면 ‘디펜더’부터 보라는 것이다. 엠대시가 아직 출시 전인 데다 디펜더는 많은 기업이 이미 쓰는 마이크로소프트365(M365) 라이선스에 들어 있어 추가 도입 없이 켜기만 하면 된다는 이유에서다.MS에 따르면 디펜더는 공격이 벌어지는 도중에 감염 기기를 스스로 격리해 확산을 끊고 랜섬웨어를 평균 3분 안에 차단한다. 김동민 한국MS 시니어 디지털 스페셜리스트는 “일단 엔드포인트를 잡은 뒤 아이덴티티·이메일·클라우드로 방어를 넓혀가는 단계적 접근이 현실적”이라고 권고했다.◆ “이제 보안 책임은 금융사가”…CISO 역할 ↑세미나에 참석한 한 금융사 관계자는 글로벌 보안 솔루션을 검토하는 주된 이유로 ‘연동성’을 꼽았다. 그는 “보안은 한두 개가 아니라 지점마다 여러 솔루션을 도입해야 하는데 외산 솔루션은 제품 간 데이터가 유기적으로 연동되고 상호 활용할 수 있는 강점이 있다”고 설명했다.이번 규제 완화는 금융사 보안 조직 역할도 바꿔놓을 것으로 보인다. 그동안 금융권은 물리적 망분리라는 통제 아래 있었고 보안 책임 상당 부분을 규제와 컴플라이언스가 떠받쳐 왔다. 그러나 AI 활용이 늘면서 이런 방식이 한계에 이르렀고 망 통제가 사라진 환경에서는 어떤 위험을 감수하고 어떤 통제를 적용할지 회사가 스스로 판단해야 한다.보안 사고 시 그 판단의 적정성을 자체적으로 소명해야 하는 부담도 커졌다. 정보보호최고책임자(CISO)를 비롯한 보안 조직이 규정을 확인하는 자리에서 위험을 판단하고 설계하는 자리로 옮겨가는 셈이다.이 관계자 역시 “규제나 물리적 통제가 해주던 역할을 이제 회사가 자체적으로 책임지는 구조로 가고 있다”며 “당연히 책임이 더 따라오는 만큼 내부적으로 검토와 준비를 많이 하고 있다”고 말했다. 우선 도입 분야로는 엔드포인트 탐지·대응(EDR)을 꼽으며 “공격이 AI 기반으로 대규모로 들어오기 때문에 사람이 일일이 대응하기 어렵기 때문”이라고 말했다.
원문 보기 ↗