미토스 시대, 금융권 망분리 해법 될까…'AI 방패'의 첫 시험대
입력 2026.06.16 07:07
수정 2026.06.16 07:07
보안 목적 생성형 AI 허용…10개 금융사 비조치의견서 발급
3·20 전산대란이 만든 망분리 원칙, AI 시대 전환점 맞아
선정 기준 논란 속 "재량 확대엔 강한 책임 따라야"
금융위원회가 이르면 이번 주 보안 역량을 갖춘 금융사에 비조치의견서를 발급하고 생성형 AI를 활용한 취약점 점검과 보안 분석 등을 허용할 예정이다. 해당 이미지는 AI로 제작됨.
생성형 인공지능(AI)을 활용한 해킹 위협이 고도화되는 가운데 13년간 금융보안의 원칙으로 여겨졌던 망분리 규제가 변화를 맞고 있다.
공격에 AI가 활용되는 '미토스(MITOS) 시대'에 접어들면서 금융당국이 보안 목적에 한해 생성형 AI 활용의 문을 열기로 한 것이다.
다만 AI를 활용한 방어 체계 구축이 불가피하다는 공감대와 별개로 선정 기준의 투명성과 사후 통제 장치 마련이 필요하다는 지적도 나온다.
'AI 방패'가 새로운 해법이 될지, 또 다른 과제를 남길지 첫 시험대에 오른 셈이다.
16일 금융권에 따르면 금융위원회는 이르면 이번 주 보안 역량을 갖춘 금융사에 비조치의견서를 발급하고 생성형 AI를 활용한 취약점 점검과 보안 분석 등을 허용할 예정이다.
금융당국이 보안 목적에 한해 금융권 망분리 규제를 완화하는 첫 사례로, 2013년 도입 이후 유지돼 온 망분리 원칙에 제한적 예외가 적용되는 것이다.
망분리 규제는 2013년 '3·20 전산대란' 이후 도입됐다.
당시 방송사와 금융회사의 전산망이 동시다발적으로 마비되면서 국내 금융권의 사이버 보안 체계 전반에 대한 경각심이 커졌고, 금융당국은 내부 업무망과 외부 인터넷망을 물리적으로 분리하는 강도 높은 규제를 도입했다.
전자금융거래 비중이 급증하면서 금융 전산사고가 경제 전반으로 확산될 수 있다는 우려도 배경으로 작용했다.
주요국이 접근통제와 권한관리 등 위험 기반 보안 체계를 중심으로 운영한 것과 달리, 한국은 금융권 전반에 물리적 망분리를 의무화하는 이례적인 방식을 택했다.
해킹 경로를 원천 차단하는 데는 효과적이었지만, 클라우드와 생성형 AI 시대를 맞아 새로운 기술 도입과 시스템 고도화에는 제약으로 작용한다는 평가도 뒤따랐다.
이 같은 문제의식은 이미 AI 열풍이 본격화되기 이전부터 제기돼 왔다.
황세운 자본시장연구원 선임연구위원은 2024년 자본시장포커스 보고서 '금융회사 망분리 규제 해외사례와 국내 시사점'에서 "물리적 망분리 규제는 클라우드 기반 기술 활용의 장애요소가 되며 연구·개발 활동에도 지장을 준다"며 "생성형 AI를 금융회사의 기본적인 서비스에 활용하는 데도 제약이 따른다"고 분석했다.
보고서는 해외 주요국이 물리적 망분리를 법으로 강제하기보다 위험 기반 감독 체계를 운영하고 있다고 설명했다.
미국은 접근통제와 다중인증, 사고 대응체계 등을 종합 점검하고, 유럽은 디지털운영복원력법(DORA)을 통해 ICT 리스크 관리와 침투 테스트, 외부 클라우드 사업자 관리 등을 의무화하고 있다.
이들 국가는 네트워크를 중요도에 따라 분할하도록 권고하지만 금융권 전체에 물리적 망분리를 강제하지는 않는다.
이번에 선정된 금융사들은 생성형 AI를 활용한 취약점 테스트와 보안 분석, 보안 서비스형 소프트웨어(SaaS) 등을 활용할 수 있게 된다.
최근 미토스 등 생성형 AI를 활용한 공격 기법이 등장하면서 기존 방식만으로는 대응에 한계가 있다는 문제의식이 커졌고, 금융당국도 'AI로 AI를 막는다'는 방향으로 정책 기조를 전환한 것이다.
다만 금융회사에 더 많은 재량을 부여하는 만큼 책임 체계 강화도 함께 이뤄져야 한다는 지적이 나온다.
일부 대형 은행이 제외되면서 업권별 안배와 평가 방식 등을 둘러싼 해석이 엇갈리고 있다.
금융당국은 보안 역량과 AI 활용 계획 등을 종합 평가했다고 설명하지만, 평가 기준과 결과가 공개되지 않을 경우 또 다른 규제 논란으로 이어질 수 있다는 지적도 나온다.
황 선임연구위원은 "망분리 접근방식에 대한 재량권을 가지게 될 때 필수적으로 동반돼야 할 사항은 금융전산사고 발생에 대한 책임을 무겁게 물을 수 있는 제도적 환경"이라며 "보안사고에 대한 배상책임 강화와 실효성 있는 과징금 부과가 중요하다"고 제언했다.
금융권의 한 관계자는 "공격자는 이미 AI를 활용하고 있는데 방어 체계만 과거 규제에 묶여 있을 수는 없다"면서도 "이번 1차 적용 결과가 향후 금융권 AI 활용 범위를 결정하는 기준이 될 수 있는 만큼 투명한 평가와 사후 관리 체계가 함께 마련돼야 한다"고 말했다.
![[데일리안 오늘뉴스 종합] 李대통령 "선관위 원포인트 개헌해야…필요하면 대통령이 발의", 李대통령 "트럼프, 김정은과 대화 생각 있어…북핵 현실적으로 막을 수 없다 말해" 등](https://cdnimage.dailian.co.kr/news/icon/202606/news_1781867916_1657923_c.jpg?v=1781870196){kind=icon}
![[코인뉴스] "5만2000달러 간다"…하락에 돈 거는 투자자들](https://cdnimage.dailian.co.kr/news/icon/202606/news_1781854369_1657857_c.png?v=1781867989){kind=icon}
