금융당국, 금융분야 망분리 규제 개선 로드맵 발표

생성형AI 관련 규제 특례, 내년 말까지 정규 제도화

[디지털데일리 최민지기자] 이르면 올해부터 금융사는 챗GPT를 활용해 금융 인공지능(AI) 서비스를 선보일 수 있게 된다.

13일 금융위원회는 망분리 개선을 위한 세부 추진 과제와 금융보안체계 선진화 방향을 담은 ‘금융분야 망분리 개선 로드맵’을 발표했다.

◆생성형AI 시대, 망분리 완화할 수밖에…새로운 금융보안체계 필요성 커져

지난 2013년 12월 도입된 금융권 망분리 규제에 따라, 금융사는 내부망과 외부망을 분리 운영해 왔다. 물리적 망분리를 통해 인터넷 접속을 차단, 중요 시스템과 데이터를 보호하는 방식이다. 다만, 연구‧개발 업무는 망분리 예외 허용 규정을 통해 인터넷에 연결되고, 논리적 망분리로 이뤄진 업무망 내 비중요 업무는 클라우드 기반 응용 프로그램에 접속할 수 있었다.

망분리가 나쁜 제도는 아니다. 외부 공격 차단 효과가 높은 매우 손쉬운 보안수단으로 꼽힌다. 하지만, 모든 것이 연결된 IT 시대로 진화하고 AI까지 발전하면서 현실적으로 수많은 망분리 예외 설정이 불가피해졌다. 이로 인해 망분리를 하더라도 보안에 허점이 생길 수밖에 없게 됐다.

더군다나, 생성형AI 활용 확대가 전세계 전산업으로 확대되는 가운데 국내 금융산업에서만 망분리 환경으로 어쩔 수 없는 제약을 받게 된다면 경쟁력이 떨어질 수 있다는 위기감이 감돌았다. 대부분 생성형AI는 클라우드 기반 인터넷 환경에서 제공되지만, 금융사는 망분리 규제로 인해 활용에 제약을 받을 수밖에 없는 상황이다.

이에 금융당국은 발전된 IT 환경을 받아들이면서 적극적인 보안을 모색하는 ‘자율보안-결과책임’ 원칙에 입각한 새로운 금융보안체계를 구축하기로 했다.

금융당국은 법 개정을 통한 제도 시행 전, 규제 샌드박스를 먼저 실시해 성과를 검증하기로 했다. 금융위원회에 따르면 ▲내년 4분기까지 클라우드 이용 절차 관련 ‘전자금융 감독규정’ 개정 ▲내년 4분기까지 연구개발 관련 ‘전자금융 감독규정’ 개정 ▲내년 4분기까지 제3자 리스크 관리 강화를 위한 정보처리 업무위탁제도 정비방안 마련 ▲디지털금융보안법 2025년 상반기 발의 후 하반기에 입법 추진 계획 등을 마련했다.

◆생성형AI 활용, 올해 규제샌드박스 특례…내년 정규 제도로

특히, 생성형AI와 업무망에서의 서비스형소프트웨어(SaaS) 이용은 올해 3분기까지 규제샌드박스 접수‧허용을 추진하고, 내년 상반기에 규제샌드박스 성과를 검증한 후 내년 하반기에 정규 제도화할 방침이다.

금융사가 생성형AI를 활용해 가명처리된 개인신용정보까지 처리할 수 있도록 규제 특례를 허용하겠다는 것이다. 금융회사 정보처리세스템(내부)과 AI 모델(외부) 간 연결을 위한 망분리 규제 특례를 허용하고, 해외 소재 AI를 통한 가명정보 처리를 위해 관련 법령에 대한 관계부처 협업을 추진한다.

신청 기업별 AI 사용 목적, 처리 데이터 범위, 보안 수준 등을 종합 고려해 규제 샌드박스 심사‧지정이 이뤄진다. 망분리 예외에 따른 강화된 보안대책, 금융회사와 해외 AI 사업자 간 계약 때 반영할 필요최소한의 내용 등을 부가조건으로 부과할 예정이다.

예를 들어, 이용자 프롬포트에서 신뢰할 수 있는 콘텐츠를 차단하고, 안전한 연결방식 사용, 가명정보 복원 때 추가정보는 분리해 암호화‧별도 보관 등을 보안대책에 포함시킬 수 있다. 해외 AI 사업자와 계약 경우 제3자가 관할 당국에 협조, 계약 해지 권한 및 최소 통지 기간 등을 명시해야 할 수 있다.

◆금융사 AI 활용으로 혁신상품 출시 기대…해외 AI기업, 감독 문제는 남아

금융사가 적극적으로 생성형AI를 활용하게 된다면, 전에 없던 혁신적인 신상품을 개발할 수 있다. AI 기반 데이터 분석‧예측 및 신용평가 고도화를 꾀해 특화 보험과 중금리 대출상품 등을 만들어 사각지대를 해소할 수 있다는 설명이다. 이는 금융소비자 기회와 편익 확대에 긍정적 영향을 미친다.

맞춤형 서비스 제공도 가능하다. 글로벌 J 투자사 경우, AI로 자산‧투자이력‧소비행태 등을 분석해 고객 특성별 포트폴리오 및 투자 결정을 추천하고 있다. 또, 생성형AI 기반 이상금융거래탐지시스템(FDS)을 고도화해 소비자 보호를 강화할 수 있다. 글로벌 M 카드사는 생성형AI로 수십억건 거래패턴과 피해사례 등을 학습해 복잡한 사기시도를 탐지하고 있다.

AI와 클라우드 기반 업무 자동화, 전사적 경영관리(ERP), 준법 감시 프로그램 등 도입에 따라 금융권의 업무 생산성이 향상되고, 빅데이터 분석 등 금융 데이터의 활용도 증가할 것으로 예상된다.

다만, 해외 생성형AI 기업들이 국내 금융당국에 얼마나 협조할 수 있을 지는 미지수다. 오픈AI ‘챗GPT’를 비롯해 마이크로소프트(MS), 구글, 아마존 등 글로벌 기업들과 계약을 맺어 AI를 활용하려는 금융사들이 늘어날 것으로 전망된다. 이러한 글로벌 AI 기업을 금융당국이 감독할 수 있는 실효성 있는 권한을 담보할 수 있느냐가 주안점으로 떠오른다. 이에 대한 구체적 방안은 나오지 않은 상태다. .

금융위원회 측은 금융사가 해외 업체와 계약을 체결하는 과정에서 필요한 부분에 당국이 접검할 수 있는 내용을 포함하고, 유럽연합(EU)에서 추진 중인 방안을 참고해 규제 샌드박스 차원에서 감독할 수 있는 수준으로 요구할 방침이다. 해외 AI 업체에 대한 감독 방안은 내년에 마련하기로 했다.

한편, 이날 김병환 금융위원장은 “일률적인 망분리 의무화 정책은 한국에만 존재하는 대표적인 갈라파고스 규제로서 국내 금융산업의 글로벌 경쟁력을 저해하는 요인으로 지적받고 있다”며 “클라우드, 생성형 AI 등 급변하는 IT 환경변화에 대응하기 위해 보다 효과적인 망분리 개선 방안이 필요한 시점”이라고 진단했다.