이 기사는 2024년 12월 11일 07:03 thebell 에 표출된 기사입니다.

챗GPT와 같은 생성형 인공지능(AI)을 활용한 금융 혁신이 본격화됐다. 금융당국이 '망분리' 규제를 개선하면서다. 금융권의 생성형 AI 활용은 외부 침입으로부터 내부 전산자원을 보호하기 위해 내부망과 외부망을 분리토록 한 네트워크 보안기법 망분리 규제에 막혀 있었다.

금융 서비스 혁신 및 고도화와 함께 규제 완화로 인한 보안상의 위험은 간과할 수 없는 문제다. 특히 금융산업은 사이버위험에 크게 노출된 산업이다. 관련 전문가들은 생성형 AI와 외부 서비스형소프트웨어(SaaS) 사용 증가로 보안사고의 가능성이 높아질 수 있다고 경고한다.

◇망분리 단계적 완화 시작…10개 서비스 혁신금융서비스 지정

금융위원회는 최근 생성형 AI를 활용한 9개 금융회사의 10개 서비스를 혁신금융서비스로 첫 지정했다. 앞서 금융산업 경쟁력 제고와 금융소비자 효용 증진을 위해 세운 '금융분야 망분리 규제 개선 로드맵'의 일환이다. 생성형 AI 허용은 3단계 중 1단계에 해당되는 추진과제다.

금융권 망분리가 도입된 지는 2013년 12월 이후 10년이 넘었다. 망분리로 사이버위험을 줄일 수 있었지만 업무 비효율과 연구·개발 및 신기술 활용 애로, 해외 규제와의 괴리 등으로 규제개선 요청이 끊이지 않았다. 클라우드 기반의 인터넷 환경에서 제공되는 생성형 AI 역시 활용에 제약이 있었다.

금융당국은 현행 망분리 규제를 고수할 경우 급격하게 변화하는 IT환경에서 생존하기 어려우며 금융보안의 발전을 오히려 저해할 우려가 있다고 판단하고 단계적 개선에 나섰다. 우선 규제 특례를 부여하는 방식으로 금융권 망분리 규제를 완화해 금융권의 생성형 AI 도입을 허용하기로 했다.


생성형 AI를 활용한 혁신금융서비스로 첫 지정된 금융사는 모두 9곳이다. 은행권 서비스는 △생성형 AI 기반 은행원(신한은행) △생성형 AI 투자 및 금융지식 Q&A 서비스(신한은행) △생성형 AI 금융상담 에이전트(KB국민은행) △생성형 AI 플랫폼 기반 금융서비스(NH농협은행) △대화형 금융 계산기(카카오뱅크) 등이다.

보험·카드사에서도 △보장분석 AI 서포터(교보생명) △생성형 AI 활용 고객 맞춤형 화법 생성 및 가상 대화 훈련 솔루션(한화생명) △생성형 AI 활용 모두의 카드생활 메이트(KB국민카드) 등이 혁신금융서비스로 지정됐다. 증권사에선 NH증권과 KB증권 두 곳이 생성형 AI를 활용한 서비스를 선보인다.

금융당국은 망분리 개선을 통해 금융산업 전반의 경쟁력이 크게 제고될 것으로 기대한다. 분리 개선의 이익이 금융산업뿐만 아니라 금융소비자의 효용 증진으로 이어질 수 있다고 본다. 아울러 이번 지정 건 이외 신청 건(총 141건 신청)에 대해서도 법정기한 내에 처리할 예정이다.

◇망분리 완화로 인한 보안상 위험 대응은 숙제

긍정적인 면과 함께 망분리 규제 완화가 가져올 수 있는 보안상의 위험도 간과할 수 없다. 강력한 망분리 규제로 각종 사이버위험으로부터 안전하게 보호돼왔다는 건 부인할 수 없는 사실이다. 지난 2017년 랜섬웨어(ransomware) '워너크라이'가 전 세계에 대규모 피해를 일으켰음에도 국내 금융사는 망분리로 별다른 타격을 입지 않았다.

많은 금융보안 전문가들은 생성형 AI와 외부 SaaS의 사용이 늘어나면서 보안사고의 가능성이 커질 수 있다고 경고한다. 생성형 AI 서비스의 경우 고객에게 편향적이거나 불법적인 정보를 제공할 위험도 있다.

국제통화기금(IMF)은 올해 발표한 '글로벌 금융안정 보고서'를 통해 금융산업이 항상 사이버위험에 크게 노출된 분야임을 강조하면서 기술 의존도 증가와 금융혁신에 따른 디지털 연결성이 사이버사고를 증가시키는 주요 요인 중 하나라고 지목했다.

현재 국내 금융사들의 대응은 완전하지 않은 상태다. 실제 금융감독원과 금융보안원이 망분리 규제 완화를 앞두고 국내 금융사를 대상으로 모의 해킹 훈련을 실시한 결과 일부 금융사는 소비자 피해가 유발될 수 있는 중대한 취약점을 드러내기도 했다.

망분리 규제 개선으로 보안 사고가 발생할 수 있는 만큼 이에 대한 대책 마련은 숙제다. 금융당국은 보안 거버넌스 강화 및 자율보안 역량 제고를 통해 취약부문을 개선한다는 방침이다. 금융당국 관계자는 "보안수준을 지속 점검·컨설팅하고 미흡한 부분은 시정조치 및 엄중 제재할 것"이라고 말했다.