인공지능(AI)이 보이스피싱을 잡아내고 침입 흔적을 분석해 사고 가능성을 사전에 경고한다.
고객의 의도를 파악해 상담을 대신한다. 이처럼 AI는 인력을 크게 늘리지 않아도 보안 수준과 업무 효율을 동시에 끌어올릴 수 있다는 점에서 금융권 내에서도 핵심 인프라로 자리잡게 될 전망이다.
하지만 아직은 말 그대로 전망일 뿐이다. 기대와 달리 실제 도입하려면 각종 규제와 절차가 겹쳐 속도가 나지 않는다.
AI를 내부 업무에 적용하려 해도 보안성 검토와 승인 절차에만 수개월씩 이어진다. 기약도 없이 장기간 대기 상태에 놓이는 사례가 적지 않다.
AI 도입하려면… 모델명·버전까지 허락받아야
이 같은 간극은 생성형 AI 실무 적용 시 두드러진다. 현재 국내 금융사들은 새로운 외부 AI 서비스를 도입할 때마다 금융당국의 사전 검토와 승인 절차를 거쳐야 한다. 짧은 주기로 고도화되는 AI 특성을 감안하면 변화에 맞춰 유연하게 대응하기 어려운 구조다.
가령 금융사가 챗GPT 등 외부 생성형 AI를 활용하기 위해 혁신금융서비스를 신청할 경우, 모델명과 버전까지 모두 기재해야 한다. 지정 이후에도 모델이나 버전을 변경하려면 별도의 변경 신청 절차를 다시 거쳐야 한다. 대다수 금융사가 처한 현실이 이렇다.
클라우드 기반 서비스형 소프트웨어(SaaS) 도입도 마찬가지다. 문서 작성과 협업에 쓰이는 마이크로소프트 365(M365) 같은 범용 도구조차 금융권에서는 혁신금융서비스 지정과 보안성 심사를 거쳐야 하는 구조다. 일반 산업에서는 일상적으로 활용되는 상용 서비스에 대해서도 금융권에는 높은 진입 장벽이 존재한다는 지적이 나온다.
이같은 점을 고려해 금융당국은 2024년말 생성형 AI와 클라우드 기반 서비스에 대해 규제 샌드박스를 통해 제한적으로 허용하기로 했다. 신기술을 원천적으로 막기보다 위험을 관리하면서 실험을 허용하겠다는 취지다.
다만 규제 샌드박스 역시 한계가 분명하다. 개별 서비스나 기술을 하나씩 승인받는 구조에서는 빠르게 진화하는 기술을 따라가기 여전히 어려워서다.
전문가들은 국내 금융 보안 규제가 ‘포지티브 규제’에 국한되면서 이같은 문제가 발생한다고 지적한다.
정해진 범위 안에서만 기술 활용을 인정하다 보니 규정에 없는 기술은 위험 여부와 관계없이 막히는 상황이 반복된다는 것이다.
황석진 동국대학교 국제정보학과 교수는 “국내 금융사 규제는 전반적으로 강한 편으로 정부의 말 한마디가 실제 금융사에 미치는 체감이 크다”며 “이른바 갈라파고스 규제 탓에 국제 정합성에서 뒤처지는 측면이 있어 하지 말아야 할 것만 명확히 정하는 네거티브 규제로 전환하는 것이 현실적”이라고 말했다.
클라우드 날개 단 해외 금융사
미국과 유럽, 호주 등은 망분리 방식을 법령으로 일률적으로 강제하기보다 가이드라인 중심의 연성 규제를 적용한다. 어떤 방식을 선택할지는 금융회사에 맡기되 사고가 발생 시 사후 책임을 강하게 묻는 구조다. 그 결과 해외 금융사들은 핵심 업무 영역에서도 AI와 클라우드를 적극 활용하면서도 보안 투자와 책임 관리에 더 많은 자원을 투입하고 있다.
독일 도이치뱅크는 2020년부터 차세대 뱅킹 시스템을 구글 클라우드 기반으로 구축하기 시작했다. 단순 서버를 외부로 옮긴 것이 아니라 외부 금융 솔루션 기업들의 서비스를 도이치뱅크 플랫폼 안에 바로 붙여 쓰는 구조다. 새로운 서비스가 나오면 내부 시스템을 새로 만들 필요 없이 필요한 기능을 빠르게 연결해 제공할 수 있다.
미국 웰스파고는 클라우드를 활용해 고난도의 금융 데이터 분석 업무를 수행하고 있다. 방대한 거래 데이터를 실시간으로 분석해 리스크를 관리하고 이상 징후를 조기에 포착하는 데 클라우드 기반 분석 환경을 적극 활용 중이다.
반면 국내 금융사의 상황은 다르다. 핵심적인 중요 업무에 클라우드를 도입하는 데 여전히 망분리 규제가 큰 부담으로 작용하고 있다. 클라우드 서비스는 외부 인터넷망에서 제공되는 반면, 중요 업무는 내부망에 있는 데이터를 활용해야 하는 경우가 일반적이어서 두 환경을 연결하는 것 자체가 제약을 받는다. 현행 망분리 규제 아래에서는 핵심 업무에 필요한 클라우드 소프트웨어 도입이 사실상 어렵다는 분석이다.
기술 활용에 대해서는 금융회사에 일정 수준의 재량을 부여하되 사고가 발생 시 책임을 명확히 묻는 방식이 현실적인 대안이라는 주장이 제기된다.
황세운 자본시장연구원 연구위원은 “망분리 방식에 대해 금융사의 선택권을 인정하되 금융전산 보안사고가 발생할 경우 그에 대한 책임을 무겁게 하는 방식을 고려할 필요가 있다”며 “금융사는 변화하는 보안 규제 환경 속에서 고객과 영업 데이터를 스스로 지킬 수 있는 보안 체계를 갖춰야 한다”고 했다.
한편, 금융당국은 2026년 1분기부터 시행할 ‘금융 분야 통합 AI 가이드라인’을 통해 AI 활용과 관련한 최고 의사결정기구 설치와 책임 체계 정비를 요구할 계획이다. AI 도입과 운영 과정에서 누가 어떤 판단을 했는지 사고가 발생했을 때 책임소재를 명확히 하겠다는 취지다.
[출처 : IT조선]
'보안뉴스' 카테고리의 다른 글
| 사토시홀딩스, 양자암호·드론기술로 CES 2026서 '혁신상' 수상 (1) | 2026.01.12 |
|---|---|
| “과징금만 올리지말고 제로트러스트 등 세부 보안대책 나와야” (0) | 2026.01.12 |
| 국정원 사이버보안 실태평가 우수 등급 ‘0곳’ (0) | 2026.01.06 |
| 쿠팡발 해킹 리스크에 떠는 중소·중견기업, 구독형 보안서비스 해법될까 (0) | 2025.12.29 |
| '신한카드' 사고 방지 보안 솔루션 '수두룩' (0) | 2025.12.29 |