보안 목적으로 인공지능(AI)을 활용할 경우 금융회사에 적용되던 '망분리 의무'가 적용되지 않는다.
최근 금융감독원은 보안목적 AI와 SaaS 활용 테스트 참여기관으로 선정된 금융사 10곳에 대해서는 1년간 망분리 의무 위반으로 조치하지 않는다는 법령해석을 내렸다. 사이버 위협이 고도화되자 금융 시스템을 보호하기 위해, 대응하는 과정에서 원활한 보안 테스트를 위해 망분리 의무 적용을 하지 않는 것이 적절하다고 판단했다.
선정된 금융사 10곳은 △은행(신한·하나·우리은행·카카오뱅크) △증권(KB·NH투자·미래에셋증권)△보험(삼성화재·한화생명) △카드(현대카드)다.
단, 해당 금융사들은 국내외 클라우드 보안인증 △SOC2 △FedRAMP △ISO27017 △CSAP △MTCS △ISMS-P 등 서비스만 이용가능하다. 또, 개인신용정보 고유식별정보 등 중요정보의 외부전송 유출 여부를 모니터링하고 통제해야 한다.
비조치의견서 발급에는 금융당국의 금융회사 보안위협 대응 강화 의지가 반영됐다.
이는 5월 진행한 '고성능 AI 관련 금융권 보안위협 대응 간담회'에 대한 후속 조치다. 간담회에서 금융위는 금융회사 망분리 규제완화 추진 의사를 밝혔다. 망분리 규제가 외부해킹공격을 차단하기 위해 도입됐지만, 고성능 AI를 활용해 취약점을 탐지하거나 방어시스템을 구축하는데 한계가 있다는 점을 인정했다. 금융사의 원활한 보안체계 구축을 위해 망분리 규제 완화가 필요하다는 공감대가 형성됐다.
금융위는 이달 보안성 등을 포함해 금융분야에 적용할 'AI 7대 원칙'을 밝혔다. 원칙 시행을 앞두고 보안목적 AI·SaaS 활용 테스트 참여기관을 대상으로 비조치의견서를 발급하며 망분리 규제 완화에 속도를 내는 모습이다.
금융위는 10개사 금융회사에 대해 망분리 규제 시행 후 연내 40여개 금융회사를 대상으로 추가 실시할 예정이다.
김신영 기자 spicyzero@etnews.com
