AI 핵심 요약
beta- 금융위원회가 1일 금융회사 AI 보안 강화를 위해 면책조치와 가이드라인을 도입했다
- 경미한 전산 장애에 한해 고의성 없고 신속 복구시 기관·임직원 제재를 면제하되 개인신용정보 유출은 제외했다
- 금융위는 경영진 책임·패치·공급망·AI 자동화·공동 대응·침해확산 방지 등 6개 분야 실무 지침을 제시해 공격적 보안을 유도했다
!AI가 자동 생성한 요약으로 정확하지 않을 수 있어요.
경영진 책임 강화부터 방어 자동화까지, 6개 분야 실무 행동요령
[서울=뉴스핌] 채송무 기자 = 서울 금융위원회에서 1일, 프런티어 AI(최고 성능의 범용 AI)가 가져올 보안 위협에 대비해 금융회사가 적극적으로 방어에 나설 수 있도록 '면책조치'와 '보안 가이드라인'이라는 두 가지 카드를 꺼내 들었다.
그동안 금융권에서는 AI를 활용한 취약점 점검이나 긴급 보안 패치 과정에서 예기치 못한 전산 장애가 발생할 것을 우려해 방어 조치에 소극적이었다는 지적이 많았다. 이에 금융위원회는 면책심의위원회를 열어 금융회사가 보안 강화를 위해 노력하는 과정에서 발생하는 리스크를 과감히 덜어주기로 결정했다.

◆경미한 전산 장애는 '면책', 신속 복구가 핵심
이제 금융회사는 보안목적 AI를 활용해 취약점을 점검하거나, 금융당국이 전파한 보안 패치를 적용하다가 전산 장애가 발생해도 기관 및 임직원 제재를 피할 수 있게 됐다.
단, 무조건적인 면책은 아니다. 고의성이 없어야 하며, 금전 피해 1억 원 미만, 장애 시간 4시간 이내, 개인신용정보 유출 제외 등 '경미한 사고'라는 기준을 충족해야 한다. 또한, 사전에 영향도를 분석하고 피해 확산을 막기 위한 복구 수단을 마련했는지, 소비자들에게 충분히 안내하고 구제 절차를 이행했는지 등이 종합적으로 고려된다.
다만, 개인신용정보 유출 사고는 이번 면책 대상에서 제외돼 엄격한 법적 잣대가 그대로 유지된다.
◆AI 시대 맞춤형 실무 가이드라인 배포
동시에 금융위는 금융 현장에서 즉시 활용 가능한 '프런티어 AI 보안위협 금융분야 대응요령' 가이드라인을 배포했다. 프런티어 AI는 공격 기법을 사전에 가늠하기 어려운 만큼, 중소형 금융사들도 참고할 수 있는 구체적인 지침이 필요했기 때문이다.
가이드라인은 크게 6개 분야로 △경영진 책임 △취약점 및 패치 관리 △자산·공급망 관리 △AI 방어 자동화 △공동 대응 △침해 확산 방지였다.
우선 경영진 책임에 대해 금융당국은 이사회와 CEO가 보안 예산과 인력을 실질적으로 지원하고, CISO 직속 대응반을 구성해 즉각 대응 체계를 구축할 것을 권고했다. 취약점 및 패치 관리로는 단순 패치 작업을 넘어 공격 성공 가능성을 낮추는 방향으로 업무 체계를 전환하고, 시스템 특성에 맞춘 패치 우선순위를 설정하라고 주문했다.
자산·공급망 관리에는 소프트웨어 구성명세서(SBOM) 작성 등 오픈소스를 포함한 모든 전산 자원을 통합 관리해야 하며, AI 방어 자동화로는 위협 수준에 따라 인적 개입을 차등화하여 보안 시스템을 자동화하되, 오탐지나 장애에 철저히 대비할 것을 강조했다.
공동 대응으로는 금융AI보안연구소 등 유관기관과 위협 정보를 공유하고 실시간 대응 체계를 마련할 것을 주문했으며, 침해확산 방지로는 '제로트러스트' 기반의 접근 통제와 네트워크 격리 체계를 갖춰 내부 침입을 효과적으로 방어하도록 했다.
금융당국은 빠르게 변화하는 프런티어 AI 환경에서 금융회사들이 불안감을 떨치고 공격적인 보안 강화에 나설 수 있도록 지원하는 것을 이번 조치의 핵심으로 꼽으며 앞으로 망분리 규제 전면 해제 등 금융권 AI 대전환을 뒷받침할 정책 과제를 속도감 있게 추진할 계획을 밝혔다.
dedanhi@newspim.com












