농협 전산망 마비 후 2013년 망분리 규제 도입
“AI 혁신” 목소리에 10년 만에 규제 대폭 완화
금융권 AI 시장 규모, 연평균 38.2%씩 성장
‘자율보안-결과 책임’으로 신 금융보안체계 구축
[Gettyimage, 각 사]
망분리 규제, 그때는 맞고 지금은 틀리다
전자금융감독규정 제15조에 따르면 금융사는 내부 통신망과 연결된 내부 업무용 시스템에 인터넷 등 외부 통신망을 분리·차단해야 한다. 또 같은 규정 14조는 금융사가 개인신용정보를 클라우드 서비스로 처리할 경우 정보처리시스템을 국내에 설치하도록 했다. 이에 금융사는 내부망에 연결하는 PC와 인터넷에 연결하는 PC를 나눠 사용해야만 하는 실정이다.
정부에서도 이러한 상황을 인식, 망분리 규제 완화를 추진했다. 올해 초 대통령 국가안보실 주재로 관계 부처가 참여하는 망분리 관련 태스크 포스(TF)가 꾸려졌고, 4월 금융위원회는 금융 부문 망분리를 논의하는 개별 TF를 꾸리고 개선 과제 발굴에 나섰다.
그 결과 13일 금융위원회는 규제 샌드박스를 통한 금융사의 생성형 AI 활용 허용을 골자로 하는 ‘금융 분야 망분리 개선 로드맵’을 발표했다. 우선 샌드박스를 통해 인터넷 활용 제한에 대한 규제 특례를 허용한다. 금융사가 이를 활용해 가명 처리된 개인신용정보까지 처리할 수 있도록 관련 법령에 대해 관계 부처와도 협업을 추진할 예정이다.
클라우드 기반의 응용 프로그램(SaaS·서비스형 소프트웨어) 이용 범위도 대폭 확대된다. 앞으로는 보안관리, 고객관리(CRM) 등의 업무까지 SaaS 이용 범위를 확대하고 가명 정보 처리 및 모바일 단말기에서의 SaaS 이용까지 허용할 예정이다. 전자금융감독규정을 개정해 금융사가 연구·개발 결과물을 더 간편하게 이관할 수 있도록 물리적 제한도 완화한다.
가명 정보 활용을 허용한 1단계 샌드박스 운영 성과와 안전성이 충분히 검증되면 이르면 내년에 2단계 샌드박스를 추진한다. 금융사가 가명 정보가 아닌 개인신용정보까지 직접 처리할 수 있도록 규제 특례의 고도화를 추진한다. 다만 데이터 활용 범위 증가에 따른 추가 보안대책도 함께 부과할 예정이다.
중장기적으로는 샌드박스 운영 경험을 토대로 한 금융보안체계의 선진화도 추진한다. 가칭 ‘디지털금융보안법’을 제정해 ‘자율보안-결과 책임’ 원칙에 입각한 새로운 금융보안체계를 구축한다는 구상이다. 금융위원회는 9월 중 규제샌드박스 신청을 신청받아 연내 혁신 금융서비스를 지정한다. 이르면 올해 말부터 금융권에서 생성형 AI 활용이 가능해질 것으로 전망된다.
‘신한 AI’ 출범 5년 만에 좌초, 망분리 규제가 걸림돌
7월 17일 김주현 당시 금융위원회 위원장이 서울 중구 한 호텔에서 열린 ‘정보보호의 날 기념 금융회사 최고경영자 초청 세미나’에서 연설하고 있다. [금융위원회]
현재 국내 은행들은 대면 창구업무와 연금 등 자산관리 서비스, 내부 업무에도 AI 기술을 접목하고 있다. 예컨대 AI 은행원은 금융상품 상담, 각종 증명서 발급을 넘어 맞춤형 상품을 추천해 맞춤형 금융 비서 역할을 수행한다. AI 기술은 여신 심사에도 쓰인다. 하나은행에서 선보인 ‘AI 대출’이 대표 사례다. 국민은행도 기업 여신 심사에 AI를 활용하고 있다.
그동안 금융권은 AI를 활용하는 데 한계가 있다고 지적했다. AI 기술은 얼마나 많은 양질의 데이터를 학습하느냐에 따라 성능이 좌지우지된다. 업종 특성상 쓰는 용어들이 전문적이고 다양해 대량의 데이터가 필요하지만 수집이 어렵다. 망분리 규제로 인해 금융사 PC는 생성형 AI나 클라우드, 오픈소스, 서비스형 소프트웨어(SaaS) 등 외부 서비스와 데이터를 활용할 수 없기 때문이다.
이로 인해 금융 AI 산업은 경쟁력을 확보하기 어려웠다. 2019년 신한금융이 금융권 최초로 설립한 AI 자회사 ‘신한 AI’는 지난해 46억 원가량의 순손실을 내며 출범 5년 만에 문을 닫았다. 업계에선 신한 AI가 폐업한 이유로 망분리 규제로 인해 경쟁력을 확보하지 못한 점을 꼽는다. 신한 AI의 주 업무인 투자자문은 생성형 AI가 외부로부터 양질의 빅데이터를 학습해 고도화해야 하지만 내·외부망이 분리돼 있어 챗GPT 수준의 대화형 AI 상용화가 불가능했다는 것.
AI 혁신을 위해서는 제도개선 등에서 더 나아가 금융 분야 관련 AI 거버넌스 체계를 갖춰야 한다는 말도 나온다. 오순영 국민은행 금융 AI 센터장은 “생성형 AI는 완성된 기술이 아니라 계속 진화·발전하고 있다”며 “금융권이 주안점을 둘 사항은 생성형 AI 모델의 도입이 아니라, 생성형 AI를 지속 활용할 수 있는 환경 구축”이라고 주장했다.
금융권 IT 종사자 75% “망분리 규제 탓에 AI 개발 불편”
7월 19일 미국 마이크로소프트(MS) 클라우드 서비스 장애로 항공사들의 발권시스템에 문제가 생기자 항공기 지연·결항이 속출했다. 사진은 7월 21일 인천국제공항 출국장 전광판에 항공편 지연을 알리는 안내가 표시된 모습. [뉴스1]
6월 대한상공회의소가 발표한 ‘AI 활용현황과 정책개선과제’ 조사 결과에 따르면 금융지주·은행·증권·보험 등 116개 금융사의 IT 직무 종사자 가운데 응답자의 88.8%가 ‘업무상 AI 활용이 필요하다’고 답했다. 반면 ‘AI를 활용하고 있다’는 응답은 51.0%에 그쳐 필요성과 활용도 사이에 37.8%포인트라는 큰 격차가 나타났다.
AI를 활용하는 금융회사들의 활용 분야는 동향 분석 및 금융상품 개발 (47.5%)이 가장 많았다. △챗봇 등 고객 응대(41.5%) △고객 분석 및 성향 예측 (31.5%) △보이스 피싱 예방 등 이상 거래 탐지(25.5%)순이다.
또 응답자들은 미국·유럽연합(EU) 등 주요국처럼 보안 수준에 따라 논리적 망분리 방식을 선택할 수 있도록 허용하고, 연구개발 목적 등 한정된 망분리 적용 예외 사유를 생산성 향상 등으로 확대해 달라는 요청이 나왔다.
송승혁 대한상의 금융산업팀장은 “각종 규제로 AI 경쟁에서 도태될 수 있다는 금융사들의 우려와 위기의식이 심각하다”며 “정부 정책 방향인 ‘밸류업’을 촉진하는 차원에서도 금융권의 AI 활용도 제고를 위해 각종 데이터 관련 규제를 획기적으로 개선해야할 것”이라고말했다.
개인신용정보 유출 등 보안체계 마련은 ‘주요 과제’
망분리 규제 개선으로 보안 사고가 발생할 수 있는 만큼 이에 대한 대책 마련이 주요 과제로 떠오르고 있다. 금융위원회는 금융사의 생성형 AI 사용을 허용하되 예상 되는 리스크에 대한 보안대책 마련을 전제 조건으로 부과했다. 금융감독원과 금융보안원이 샌드박스 신청 기업별로 보안 점검과 컨설팅을 시행하는 등 충분한 안전장치를 마련할 계획이다.
SaaS, 생성형 AI 등 활용 확대에 대응해 제3자 리스크 관리 강화에 대한 제도도 정비한다. 금융사가 AI 사업자와 계약을 맺을 때 AI 사업자에게 금융당국의 검사·감독 권한의 법적 근거를 만든다. 권한 행사에 따른 실효성 확보 방안도 논의한다.
유럽연합(EU)은 주요 제3자에 대한 직접(현장)조사와 감독 권한 및 감독기관 권한 행사를 미준수 시 금전 제재 부과 등을 법에 명시했다. 영국은 주요 제3자가 금융시장법상 요구사항을 위반하면 금융기관에 해당 제3자와의 서비스 제공 중단 및 계약체결 금지를 요구할 수 있다.
중·장기적으로는 별도의 ‘디지털 금융 보안법’을 제정해 ‘자율보안-결과 책임’ 원칙에 입각한 금융보안체계를 구축한다. 열거식 행위 규칙 중심의 금융 보안 규제를 목표·원칙 중심으로 전환하고 금융사는 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율적으로 구성하도록 한다.
금융사에 부여된 자율에 따른 책임은 강화한다. 전산사고가 발생하면 배상책임 확대와 실효성 있는 과징금을 도입하는 등 법적 근거를 마련한다. 중요 보안 사항의 최고경영자(CEO), 이사회 보고의무, 정보보호최고책임자(CISO)의 역할을 확대하는 등 금융사의 내부 보안 거버넌스를 강화한다. 금융당국은 금융사의 자율보안체계 수립과 이행을 검증해 일정 수준 이하의 금융사에는 보안 수준 제고를 위한 시정 요구 및 이행 명령을 부과한다. 불이행 시 엄중 제재, 영업정지를 조치할 방침이다.