본문
금융당국은 고성능 AI 기반 금융권 보안위협에 대응하기 위해 금융권 AI 보안체계 구축과 망분리 규제 완화 방안을 추진하고 있습니다. “AI 공격은 AI로 방어”한다는 방향 아래 AI 기반 보안체계 구축을 적극 지원할 계획입니다. 우선 일정 규모 이상의 금융회사를 대상으로 보안 목적 AI 활용 시 망분리 규제를 한시적으로 완화하고, 보안역량과 AI 활용능력이 우수한 금융회사에 대해서는 망분리 규제 전면 해제도 검토할 예정입니다. 또한 AI 보안 가이드라인과 체크리스트를 마련하고, 현장점검 및 개선지도를 통해 금융회사의 정보보안 체계를 점검할 계획입니다. 이에 따라 금융회사들은 AI 보안 거버넌스, 데이터 및 접근권한 통제, 외부 SaaS 및 생성형 AI 활용 기준 등 AI 활용 관련 내부통제·컴플라이언스 체계를 선제적으로 정비할 필요가 있습니다.
1. 배경
2. 주요 대응 방안
3. 향후 일정
4. 시사점
1. 배경
금융위원회는 2026년 5월 22일, AI·보안 전문가 및 금융회사 CISO가 참석하는 「고성능 AI 관련 금융권 보안위협 대응 간담회」를 개최하였으며, 금융감독원·금융보안원과 함께 최근 고성능 AI의 급격한 발전에 대응하기 위한 금융권 AI 기반 보안체계 구축 및 제도 개선 방안을 논의하였습니다. 미국 앤트로픽의 미토스(Mythos)와 OpenAI의 GPT-5.5 등 고성능 AI가 기존 보안 도구로는 발견하기 어려웠던 취약점을 탐지하고 스스로 해킹을 설계하는 수준에 이르면서, AI가 해킹에 악용될 경우 기존 보안체계만으로는 대응이 어려울 수 있다는 우려가 커지고 있습니다.
반면, 고성능 AI를 취약점 탐지·분석, 침해위협 감지·차단 등 보안 목적으로 활용할 경우 사이버 보안역량을 대폭 강화할 수 있다는 시각도 제기되고 있습니다. AI 기반 보안기술은 대규모 로그 분석, 이상행위 탐지, 보안패치 우선순위 선정 등 다양한 영역에서 활용도가 매우 높기 때문입니다.
다만 현행 금융권 망분리 규제 체계에서는 외부 AI 및 AI 기반 보안 솔루션 이용이 제한적이므로, 금융회사가 AI를 활용한 보안체계를 구축하는 데 한계가 존재합니다. 이에 금융당국은 급변하는 AI 환경에 대응하여 “AI 공격을 AI로 방어”해야 한다는 방향 아래 금융권의 AI 기반 보안체계 구축을 적극 지원하고, 보안 목적의 AI 활용을 중심으로 망분리 규제를 단계적으로 완화해 나갈 계획입니다.
2. 주요 대응 방안
가. 고성능 AI 보안 위협 선제 파악
금융당국은 과기부·외교부 등 관계부처와의 협업을 통해 고성능 AI로 인한 보안위협과 리스크 요인을 신속히 파악하고, 관련 동향 및 대응 정보를 금융권에 신속히 공유할 계획입니다.
나. “AI는 AI로 방어하는” 보안체계 신속 구축
1) 망분리 규제 완화
① 보안목적 AI 활용시 망분리 규제 긴급 완화 조치
AI를 활용한 취약점 점검, 보안 SaaS 기반 방어시스템 구축 등 보안 목적 AI 이용을 위해 망분리 규제를 한시적으로 완화할 계획입니다. 우선 전자금융거래법상 CISO의 겸직이 금지되는 금융회사(총자산 10조원 이상, 상시 종업원수 1,000명 이상인 총 49개사)를 대상으로 신청을 받아, 보안 역량 및 AI 활용 준비 수준 등에 대한 평가를 거쳐 참여사를 선정할 예정입니다. 선정된 금융회사에 대해서는 1년간 한시적으로 망분리 규제가 완화되어, 고성능 AI 활용 취약점 테스트, 보안 SaaS 솔루션 사용 등 AI 기반 보안활동을 수행할 수 있게 됩니다. 다만, 보안성이 검증된 AI만 사용하여야 하며, 추가 보안조치를 준수해야 합니다. 또한, 테스트 과정에서 확인된 고성능 AI 보안 위험 특성, 예상 공격 시나리오, 방어 방법 등은 정부에 보고해야 하며, 금융당국은 이를 금융권 사이버보안 강화를 위한 가이드라인 마련에 활용할 계획입니다.
망분리 규제 긴급 완화 조치는 금융회사의 신청 이후 민간 기술자문단의 보안역량 평가 및 선정, 금융위원회 보고를 거쳐 비조치의견서를 발급하는 방식으로 진행됩니다. 신청은 회차별로 나누어 접수되며, 1회차는 10개사 이내, 2회차는 10~20개사 규모로 이뤄지고, 3회차는 나머지 수요를 고려하여 4분기 중 진행 예정입니다. 한편, 미신청 금융회사에 대해서는 망분리 규제 완화 없이 외부 공격표면을 대상으로 하는 블랙박스 방식의 AI 기반 취약점 점검이 별도로 실시될 예정입니다.
② 선별된 금융회사 대상 망분리 규제 전면 해제 검토
고도의 보안역량과 AI 활용능력을 갖춘 금융회사에 대해서는 망분리 규제를 전면 해제하는 방안도 검토·추진할 계획입니다. 민간 기술자문단 및 혁신금융심사위원회 등의 심사를 통해 보안역량, AI 활용능력, 망분리 대체 보안조치 등을 평가하여 대상 금융회사를 연내 선정하고, 기획형 혁신금융서비스를 통해 망분리 규제를 해제할 예정입니다.
2) 조직·기능 강화
정책 추진 과정에서 전문적인 자문과 금융권 의견을 수렴하기 위해 다양한 협의채널이 운영될 예정입니다. 우선 학계·보안업계·법조계 등 전문가로 구성된 「민간 기술자문단」을 통해 망분리 완화 관련 보안역량 평가와 고성능 AI 관련 정책 자문을 수행할 예정입니다. 또한 금융위·금감원·금융보안원 및 금융권 CISO 등이 참여하는 「고성능 AI 보안위협 금융권 상황대응반」을 운영하여 금융권 애로사항을 청취하고, AI 보안위협 및 대응 관련 정보를 신속히 공유할 예정입니다.
아울러 금융보안원은 AI 기반 사이버보안 위협 분석, 대응기술 개발, 침해사고 대응 등을 수행하는 「금융 AI 보안연구소」를 신설하고, 중소 금융회사를 지원하기 위한 「AI보안 지원센터」도 설치할 계획입니다.
계획입니다.
다. 금융회사의 고성능 AI 보안 위협 체계적 대응 지원
금융당국은 전산자원 현황 점검, 패치 우선순위, 불필요한 외부접점 제거, 계정·접근권한 관리, 공급망 관리 강화 등 금융회사가 준수해야 할 세부 대응요령을 담은 AI 보안 가이드라인을 마련·배포할 계획입니다. 가이드라인에는 금융회사가 IT자산 관리체계를 스스로 점검∙보완할 수 있도록 전산자원 분류기준, 프로그램 패치 우선순위 등 실무기준이 포함될 예정입니다.
한편, 금융회사의 정보보안 대비태세를 점검하기 위해 금감원이 IT위험 관리, IT자산 관리, 보안취약점 관리, 사이버 위협 대응, 사고 대응체계 등에 대한 체크리스트를 배포하고, 점검 결과 미흡 금융회사에 대해서는 적시 개선∙보완 지도 및 현장점검도 병행할 예정입니다.
아울러 적극적인 보안패치 등 과정에서 불가피하게 발생한 경미한 전산장애에 대해서는 신속한 복구와 소비자 보호조치를 전제로 제재 감경·면책을 추진할 계획입니다. 상대적으로 보안대응 여력이 부족한 중소형 핀테크 기업에 대해서도 AI 기반 보안점검 비용, 취약점 점검도구, AI 위험관리체계 구축 등을 지원할 예정입니다.
3. 향후 일정
금융당국은 5월 22일부터 29일까지 보안 목적 AI 활용을 위한 망분리 규제 완화 신청을 접수하고, 6월 초 민간전문가 심사를 거쳐 대상 금융회사를 선정할 예정입니다. 이후 6월 17일 금융위원회 보고를 거쳐 6월 중 선정 금융회사에 대한 비조치의견서를 발부하며, 6월부터 7월까지 고성능 AI 기반 취약점 테스트를 실시할 계획입니다. 이어 8~9월 중 2차 선정 절차를 진행하고, 2026년 말 이후에는 3차 선정 절차도 추진할 예정입니다.
아울러 금융보안원은 6월 중 금융 AI연구소 및 AI보안 지원센터 신설을 추진하고, 고성능 AI 보안위협 대응 가이드라인도 마련·배포할 계획입니다. 이와 함께 금융권 정보보안 체크리스트를 6월부터 배포하고 금융회사 대상 대비태세 점검도 순차적으로 실시할 예정입니다.
4. 시사점
이번 논의는 금융당국이 금융권 AX전환을 지원하면서 고성능 AI의 등장에 따른 새로운 보안 위협에 대응하기 위해 기존의 망분리 중심 보안정책에서 나아가, AI를 활용한 능동형·지능형 보안체계 구축을 제도적으로 허용하기 시작했다는 점에서 의미가 있습니다. 특히 “AI 공격은 AI로 방어”한다는 정책 방향이 명확히 제시된 만큼, 금융회사들도 AI 기반 보안역량을 본격적으로 강화할 필요가 있습니다.
우선 일정 규모 이상의 금융회사들은 보안 목적의 망분리 규제 완화 신청 가능성을 고려하여 사전 준비를 진행할 필요가 있습니다. 감독당국은 전사적 보안관리체계 및 보안역량, AI 활용 통제체계 및 활용 능력, 망분리 대체 보안조치 등을 중점적으로 평가할 것으로 예상되므로, AI 활용 과정에서의 데이터 반출 통제, 접근권한 관리, 로그 관리, 공급망 보안 등에 대한 내부 기준과 운영체계를 점검할 필요가 있습니다.
또한 향후 망분리 규제 완화 범위가 보안 관련 영역을 넘어 여신심사, 자산관리, 내부통제 등 금융업무 전반으로 확대될 가능성이 높은 만큼, 금융회사들은 AI 활용에 따른 규제 리스크 관리체계를 선제적으로 정비할 필요가 있습니다. 특히 개인정보 및 신용정보 보호, 전자금융거래법상 안전성 확보의무, 외부 SaaS 및 생성형 AI 활용 통제 등에 관한 내부 기준과 통제체계 마련의 중요성이 더욱 커질 것으로 보입니다.
아울러 금융당국이 AI 보안 가이드라인, 체크리스트 배포 및 현장점검 실시를 예정하고 있는 만큼, 금융회사들은 IT자산 관리현황, 계정 및 접근권한 관리체계, 노후 시스템 현황 등을 사전에 점검하고 정비할 필요가 있습니다. 특히 적극적인 보안패치 과정에서 발생한 경미한 장애에 대해 일정 범위 내 면책 가능성이 언급된 점은, 감독당국의 감독기조가 단순한 전산장애 예방 중심에서 벗어나 AI 기반 보안위협에 대한 신속하고 선제적인 대응을 보다 중시하는 방향으로 변화하고 있음을 시사합니다.
화우 디지털금융센터는 금융회사, 플랫폼, 핀테크 기업 등에 대한 다양한 자문을 통해 축적한 경험과 노하우를 기반으로 고객을 위한 최적의 법률 자문 서비스를 제공하고 있습니다. 관련하여 궁금하신 사항이 있으실 경우 언제든지 문의하여 주시기 바랍니다.
- 관련 분야
- #디지털금융센터
