[이코노미스트 이병희 기자] 금융회사 전산망의 안전을 책임지던 망분리 규제가 10년 만에 전격 완화된다. 정부는 금융 혁신과 글로벌 경쟁력 강화를 기치로 내걸고 금융권 망분리 규제를 단계적으로 완화하는 로드맵을 가동하기로 했다. 인공지능 대전환(AX)과 클라우드가 주도하는 글로벌 테크 전쟁에서 한국 금융사들만 고립될 수 있다는 지적이 제기된 결과다.

외부 침입 막은 일등 공신, 혁신 발목 잡은 물리적 장벽

망분리는 네트워크 보안 기법의 일종이다. 외부 인터넷망을 통한 불법적인 접근과 내부 정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리해 두 영역이 서로 접근할 수 없도록 차단한다. 보안 장벽을 세우는 대신 아예 보안 영역을 고립시켜 외부 침투나 공격을 방어하는 방식이다. 국내 금융기관은 2013년 일부 시중은행의 전산 마비 사태가 벌어진 이후 본격적으로 망분리 시스템을 도입하기 시작했다. 당시 바이러스 백신 업데이트 서버를 통해 패치 파일을 가장한 악성코드가 내부 업무용 PC로 유포됐다. 이로 인해 오프라인 창구와 인터넷뱅킹이 마비되는 사태가 벌어지자 금융당국은 금융전산 보안 강화 종합대책을 통해 금융회사에 엄격한 망분리를 의무화했다.

전문가들은 물리적 망분리 도입 이후 국내 금융 보안이 비교적 철저하게 지켜졌다고 평가한다. 인터넷망을 통해 시도될 수 있는 악성코드 감염·해킹·개인정보 유출 등의 위험성을 차단할 수 있었다는 분석이다. 실제 2013년 이후 글로벌 대형 금융사들이 랜섬웨어 공격이나 대규모 데이터 유출 사건을 겪는 동안 국내 금융사들은 상대적으로 안전한 위치에 있었다.

문제는 기술 패러다임의 변화로 생성형 인공지능(AI)과 클라우드 도입이 급격하게 진행되면서 물리적 망분리가 금융 혁신과 연구·개발(R&D)의 발목을 잡는 걸림돌로 작용하고 있다는 점이다. 금융사 직원이 챗GPT나 제미나이 등을 활용해 경제 데이터나 통계를 조사·요약해 업무 효율성을 높이려 해도 대부분의 AI 서비스가 서비스형 소프트웨어(SaaS)인 클라우드 기반으로 제공되는 탓에 내부망 PC에서는 활용하는 데 한계가 있었다. 타 산업군에서 AI를 활용해 효율성을 극대화하는 동안 금융권에서는 내부망에 고립돼 업무 효율성이 저하되는 결과로 이어졌다. 여신심사·자산관리·챗봇상담·내부통제 등 금융 전 영역에서 AI를 적극적으로 도입하는 데 체질 개선의 한계에 부딪혔다는 지적이다.

빗장 풀린 금융망, 사이버 위협의 그림자

더 큰 문제는 고성능 AI가 스스로 취약점을 찾아내 해킹하는 AI의 무기화가 현실화됐다는 점이다. 인적 개입 위주의 기존 보안체계나 획일적인 망 차단 방식으로는 고도화된 사이버 공격의 속도와 범위를 감당하기 어렵다는 것이 전문가들의 진단이다. AI 공격은 AI로 방어하는 고도화된 방어체계를 구축해야 하지만 현행 망분리 규제는 금융사의 AI 방어 역량을 강화하는 것까지 제한하는 요인으로 꼽힌다.

다만 망분리 완화가 가져올 잠재적 위험성도 상존한다. 금융회사들이 내부망과 외부 인터넷망의 접점을 넓히거나 보안성이 상대적으로 낮은 논리적 망분리로 전환할 경우 사이버 범죄자들에게 침투 경로를 제공하게 될 수 있다. 망분리 완화 시 ▲악성코드와 랜섬웨어의 확산 리스크 증가 ▲지능형 지속 위협(APT) 공격에 대한 취약성 노출 ▲내부 직원의 오조작이나 악의적인 의도에 의한 대규모 개인정보 유출 사고 위험 등이 우려된다. 

선진국들은 이런 문제에 대응하기 위해 명문화된 공식 규정으로 망분리를 강제하는 대신 가이드라인 형태의 연성규제를 적용한다. 데이터의 민감 수준에 따라 네트워크를 계층화하는 망세분화 기법을 금융회사의 재량에 맡긴다. 대신 사고 발생 시 기업 전체 매출의 일정 비율을 과징금으로 부과하는 등 강력한 금전적 제재를 가하는 방식을 취한다.

우리 정부도 연내 기획형 혁신금융서비스를 통해 고도의 보안·AI 역량을 갖춘 금융회사를 엄격히 선별하고 망분리 규제를 전면 해제하는 방안까지 신속히 검토·추진할 계획이다. 지난 10일 이억원 금융위원회 부위원장은 서울 명동 은행연합회에서 열린 ‘AX 시대 해킹·보이스피싱 대응 간담회’에서 “고도의 AI·보안 역량을 갖춘 금융회사를 선별해 망분리 규제를 전면 해제하는 방안을 연내 시행을 목표로 추진해 나가겠다”고 말했다. 이 부위원장은 “인공지능 대전환 시대는 새로운 도약의 기회이기도 하지만 과거에 접하지 못한 위협을 마주하는 모험이기도 하다”며 “AI 공격은 AI로 방어한다는 인식 아래 다각적인 정책을 추진하겠다”고 덧붙였다.

금융회사의 보안을 책임지는 금융보안원은 최근 원장 직속 본부급으로 AI 보안에 대해 연구하고 대응하는 전담 조직인 금융AI보안연구소를 신설하고 김성웅 연구소장을 선임한다고 15일 밝혔다. 해당 조직은 AI 위협에 즉각 대응하고 각종 AI 위협 정보를 통합 제공하는 한편 금융권 AI 대응을 총괄하고 AI 위협에 적합한 금융 보안 체계 전환을 지원한다.

동시에 금융보안원은 ASAP 고도화에도 나선다. ASAP란 금융보안원이 운영하는 보이스피싱정보공유·분석 AI 플랫폼을 말한다. 보이스피싱 사기 정보와 이상 금융거래 징후를 한곳으로 집중시키고 신속하게 공유해 금융회사들이 사기 범죄를 빠르게 예방·대응할 수 있도록 지원하는 시스템이다. 금융보안원은 ASAP 참여 대상을 은행에서 제2금융권까지 확대하고 AI를 통한 보이스피싱 정보 분석 기능을 강화하기로 했다. 이를 위해 보이스피싱 대응 전담 조직을 부서 단위로 격상하는 등 ASAP 고도화에 주력할 방침이다.

박상원 금융보안원장은 “최근 고성능 AI 모델을 활용한 보안 취약점 공격 위협이 증가하는 등 AI 보안 위협이 커져 관련 정책 지원과 AI 공격 방어 체계 구축이 중요한 시점”이라며 “이번 AI 전담 조직 확대 및 인사를 통해 AI 보안 위협에 한 발 앞서 대응하고 금융권 AI 위협 대응을 빈틈없이 지원할 수 있도록 지속적으로 노력하겠다”고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지