보안 목적 AI 도입 10개 금융사, 1년간 망 분리 규제 완화

금융위, 망 분리 비조치 의견서 발급 금융 당국이 보안 목적 인공지능(AI·Artificial Intelligence) 활용을 위해 금융사 10곳을 선정하고 망 분리(금융사 내외부 통신망 분리) 규제를 1년간 완화해 준다. 이들 금융사는 이 기간에 내부 통제 방안을 마련하고 글로벌 인증을 받은 고성능 AI와 서비스형 소프트웨어(SaaS·Software as a Service)를 도입해 보안 취약점 테스트를 진행한다.23일 금융 당국에 따르면 금융위원회는 최근 1차 망 분리 규제 완화 대상으로 선정된 금융기관에 이런 내용의 비조치 의견서를 발급했다. 금융 당국은 최근 신한·하나·우리 등 시중은행과 카카오뱅크, KB증권, NH투자증권, 삼성화재, 한화생명 등 10개 금융사를 ‘보안 목적 AI·SaaS 활용 테스트’ 1차 금융기관으로 선정했다.일러스트=챗GPT 앞서 금융위는 총자산 10조원 이상, 상시 종업원 수 1000명 이상인 금융회사 49곳 가운데 AI와 보안 역량이 뛰어난 금융사 10곳을 우선 선정해 망 분리 규제를 완화하기로 했다. 미국 앤트로픽의 ‘미토스’와 같은 고성능 AI가 금융기관 사이버 공격에 악용될 수 있다는 우려가 제기되면서 국내 금융회사도 AI를 활용한 보안 역량을 갖춰야 할 필요성이 커졌기 때문이다.금융 당국은 “최근 고성능 AI 모델로 고도화·지능화된 사이버 위협에 대해 정부 및 유관 기관 협조 하에 신속하고 효과적인 대응 방안을 마련하고자 망분리를 예외적으로 적용할 필요성이 인정된다”고 했다.비조치 의견서에 따르면 금융사들은 ISO 27001, SOC 2, CSAP, FedRAMP 등 국제·국내 인증을 취득한 AI·SaaS 서비스만 도입할 수 있다. AI·SaaS 정보보호 통제를 위한 상시 관리·체계를 확보하고, 접속·이용 내역, 관리자 활동, 이상 행위 등에 대한 모니터링 및 로그 기록을 1년 이상 수집·보전해야 한다. AI·SaaS 서비스 관련 보안 사고 및 장애 대응 절차도 수립해야 한다.금융사들은 AI 제공 업체가 인프라, 보안, 업데이트를 대신 관리해 주는 관리형 AI(Managed AI)만 사용할 수 있다. 특히 금융사가 이용한 데이터를 AI 모델 학습에 사용하지 않도록 ‘미학습 약정’을 필수로 체결해야 한다. 접속 단말기 및 사용자·관리자를 등록·관리하고, AI·SaaS 관리자 계정은 다중 인증 방식을 적용해야 한다. 개인신용정보, 고유식별정보 등 중요 정보 입력·처리·외부 전송·유출 여부를 모니터링하는 통제 시스템도 마련해야 한다.금융 당국은 이들 금융사에 1년간 보안 목적 AI·SaaS 망분리 규제 예외를 적용하고 이후 테스트 결과를 토대로 규제 전면 해제를 검토한다. 1차 선정 금융사의 사례를 축적한 후 오는 3분기 중 2차 대상도 선정할 방침이다.