미토스 등 고성능 인공지능(AI)의 보안 위협에 금융위원회가 13년 만에 금융사 망분리 규제를 완화한다. 내 외부 전산망을 물리적으로 분리하는 규제가 금융권 AI 도입에 걸림돌이 된데다 최근 미토스의 등장으로 AI 보안 공격을 AI로 막아야 할 필요성이 대두돼서다.
보안 역량 등 조건을 갖춘 49개 금융회사로부터 신청을 받아 1차로 10곳 이내 금융사를 선정, 1년간 망분리를 완화한다. 4분기중 3회차까지 신청받고, 향후 망분리 규제를 전면 해제하도록 검토·추진한다.
금융위원회는 권대영 금융위 부위원장 주재로 지난 22일 서울 여의도 금융보안원에서 AI·보안분야 전문가, 은행·증권·카드 등 주요 금융사 정보보호최고책임자들과 간담회를 열고 이같은 내용의 고성능 AI 관련 금융권 보안 위협 대응 방안을 24일 발표했다.
역량 갖춘 금융사 1년간 망분리 완화
금융당국은 보안목적 AI 활용에 대해서 망분리 규제완화를 신속히 추진하기로 했다.
망분리란 외부의 공격으로부터 내부 데이터를 보호하기 위해 네트워크 보안 기법으로 지난 2013년 도입됐다. 이에 따라 모든 금융회사는 시스템 개발 인력에 대해 인터넷 PC와 내부망 PC를 별도로 두는 물리적 망분리 규제를 적용받는다. 일반 은행 영업점이나 디자인 인력 등 다른 직무도 PC 내부에 가상의 컴퓨터를 구현해 인터넷을 연결하는 논리적 망분리 환경도 구축해야 한다.
망분리 규제가 전격 완화되는 만큼 신청자격은 일정한 보안역량을 갖춘 금융회사로 한정한다. 오는 6월 일정한 규모(총자산 10조원 이상), 종업원수 (상시종업원수 1000명 이상)를 갖춰 전자금융거래법에 따라 전담 CISO를 두도록 규율받는 49개 금융회사가 신청할 수 있다.
신청한 금융회사는 보안관리 역량, AI활용 능력 등에 대한 전문가 평가 등을 바탕으로 금융위원회 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 망분리 규제가 완화된다.
완화를 적용받은 금융회사는 고성능 AI를 활용한 취약점 테스트, 보안SaaS 솔루션 사용 등 보안목적으로 AI·SaaS를 활용할 수 있다. SaaS란 클라우드 기반 소프트웨어로 서버를 통해 프로그램을 내려받는 구조다. 이에 전산실에 대형 서버를 들여놓거나 컴퓨터마다 프로그램을 일일이 설치할 필요가 없어 비용·시간 측면에서 효율적이다.
금융회사들은 일정한 보안규율도 준수해야 한다. 또 테스트로 확인된 고성능 AI 보안위험성 특성, 공격용도 활용시 예상 위험성, 효과적인 방어를 위한 대응요령 등을 정부에 보고해야 한다. 정부는 이를 전 금융권 사이버보안 강화를 위한 가이드라인 구체화 등에 활용할 예정이다.
망분리 완화 신청접수·심사는 1∼3회차로 나눠 진행한다. 1회차는 테스트 준비상황, 보안관리 역량 등을 고려해 10개사 이내 금융회사에 한정해 6~7월 중 마무리할 예정이다. 고성능 AI 보안위협에 대한 시급한 대응 필요성 등을 감안한 조치다.
2회차는 추가 신청회사 및 보완 준비가 필요한 금융회사 등을 포함해 10∼20개사를 목표로 8∼9월 중에 추진한다. 3회차는 나머지 신청수요 등을 감안해 4분기 중 이뤄지도록 할 계획이다.
신청하지 않은 금융회사의 보안 강화도 돕는다. 금융보안원은 오는 7월까지 최대 17개사에 한해 망분리 완화 조치가 필요없는 외부 공격표면 대상 AI 취약점 점검 등을 지원할 계획이다.
나아가 기획형 혁신금융서비스 등 절차를 통해 망분리 규제를 전면 해제하도록 검토·추진한다. 고도의 보안역량과 AI 활용능력을 갖춘 금융회사에 한해서다. AI·보안분야 전문가 등의 면밀한 심사를 통해 선별할 계획이다.
미토스 발 해킹 우려에 "AI 공격, AI로 막아야"
금융위가 이처럼 13년만에 망분리 규제 완화에 나선 배경에는 고성능 AI로 인한 해킹 우려 때문이다. 미토스 등 고성능 AI는 기존 프로그램으로 찾기 어려웠던 오래된 보안 취약점까지 손쉽게 찾아낼 수 있는 것으로 알려졌다. 스스로 해킹 공격을 기획·실행할 수 있는 능력도 거론되고 있다.
이에 더해 미토스 개발사 엔트로픽 측은 오는 7월 전 프로젝트 글래스윙을 통해 세계 주요 소프트웨어 시스템의 취약점을 식별하고 공개할 계획임을 알리기도 했다. 금융위가 4월부터 총 6회에 걸쳐 금융업권·보안전문가 등과 대응안을 논의한 결과 고성능 AI로 인한 공격은 고성능 AI로 방어해야 한다는 의견이 제기됐다.
문제는 보안을 위해 시행해 온 망분리 규제가 보안 역량 강화에 걸림돌이 된다는 점이다. 외부 연결과 데이터 공유를 전제로 하는 AI 기술이 외부와의 완전한 단절을 목적으로 하는 망분리 제도가 근본적으로 충돌한다. SaaS 활용도 금융회사 업무 자체가 인터넷이 차단된 폐쇄망에서 이뤄지기에 불가능하다.
금융위도 보안 강화를 위한 망분리 규제 완화의 필요성을 인지하고 있다. 규제가 처음 도입될 당시와 달리 디지털 전환에 따라 금융회사 전산 자원도 그만큼 늘었는 설명이다.
김태훈 금융위 금융안전과장은 "10개의 보안 취약점이 될 수 있는 구멍을 사람 손으로 관리하는 것과 100개의 보안 취약점이 될 수 있는 구멍을 AI를 통해서 관리하느냐의 문제"라며 "사람 손으로 하는 것보다 컴퓨터가 10배 이상 빠르면 후자가 낫다"고 말했다.
또 "많은 금융회사들이 망분리 완화를 주저하는게 사례가 없기 때문"이라며 "정말 똑똑하고 제대로 된 서비스를 제공할 수 있는 회사를 선별해서 잘할 수 있다는 증거를 보여야 한다"고 강조했다.
롯데카드 사태 원인 '보안 패치' 돕는다
금융위는 6월 중으로 AI 보안 가이드라인도 마련한다. 금융위에 따르면 현재 많은 금융회사들이 보안 패치 프로그램 작업에 어려움을 겪고 있다. 패치 프로그램이 이미 구축된 내부 시스템과 충돌을 일으켜 보안 사고로 이어질 수 있기 때문이다.
김태훈 과장은 "롯데카드 사태도 보안 패치가 늦어서 (해커들이 시스템에) 타고 들어갔다"며 "금융회사들이 보안 패치를 어떤 순서로 잘 하는 것이 가장 효과적일지, 어떤 범위까지 법적으로 보완 대상이 될 수 있는지 궁금해한다"고 설명했다.
그러면서 "(프로젝트 글래스윙이 예고된) 7월에 금융위가 대비하고 있는 핵심은 (취약점에 따른) 보안 패치가 많이 쏟아져 나올 부분"이라며 "질서 있게 이제 대비를 할 수 있도록 지원할 것"이라고 덧붙였다.
가이드라인에는 금융회사가 IT자산 관리체계를 스스로 점검·보완할 수 있도록 △전산자원 분류기준 △프로그램 패치 우선순위 등 실무기준을 포함할 예정이다. IT자산관리 역량 강화를 위해 현장지원과 설명회 등 맞춤형 지원도 병행한다.
적극적인 보안패치 등 보안강화 등을 위한 조치과정에서 불가피하게 발생한 경미한 전산시스템 장애에 대해서는 신속한 복구 및 소비자 보호조치를 전제로 제재 감경·면책도 추진할 계획이다.
금융보안원 내 AI 관련 기구도 신설한다. 우선 금융AI보안연구소를 신설해 고성능AI 보안위협 분석, 대응기법·수단 개발, 침해대응 지원 등을 연구할 예정이다. AI지원센터도 설치해 대응안을 금융권에 전파하고 애로사항을 접수할 방침이다.
