22일 서울 영등포구 금융감독원 대강당에서 열린 '금융분야 망분리 개선 로드맵 업무 설명회' 현장. 서호진 금융보안원 금융혁신팀 수석팀장이 보안대책을 주제로 발표하고 있다.

[디지털데일리 김보민기자] 금융권에 특화된 망분리 개선 로드맵이 추진되면서, 생성형 인공지능(AI)과 클라우드 기반 서비스형소프트웨어(SaaS) 도입에 대한 기대감이 커지고 있다.

금융당국은 이러한 환경적 변화를 추진하기 전, 각 금융사 특성에 맞는 보안대책을 수립해야 한다고 당부했다. 생성형 AI 활용 전반을 관리 감독할 책임자를 지정할 필요성도 언급했다.

22일 금융위원회와 금융감독원은 금융보안원과 함께 '망분리 규제 개선 로드맵'을 주제로 합동 업무 설명회를 개최했다.

앞서 금융위는 샌드박스를 통해 인터넷 활용 제한에 대한 규제 특례를 허용하는 내용을 담은 망분리 개선 로드맵을 공개했다. 여기에는 생성형 AI 사용을 허용하고, 클라우드 기반 SaaS 활용 범위를 확대하는 내용이 포함됐다. 당국은 9월 생성형 AI를 비롯해 로드맵 관련 규제 샌드백스에 대한 첫 신청을 받을 계획이다.

다만 전제 조건으로 별도 보안대책을 수립할 것을 강조했다. 외부 서비스 혹은 기술을 도입했을 시 발생할 수 있는 보안 위협을 사전에 차단하자는 취지다. 특히 예상 리스크에 대한 보완 방안을 마련하고, 금감원과 금보원이 점검 및 컨설팅을 실시하도록 했다.

이날 발표자로 나선 서호진 금융보안원 금융혁신팀 수석팀장은 "(로드맵에 따라) 생성형 AI와 내부망 SaaS 이용이 규제 특례로 진행될 예정"이라며 "신청기관에서 자체 보안대책을 수립해 이행해야 한다"고 말했다.

규제 샌드박스 업무 절차에 대한 상세 정보도 공유했다. 서 팀장은 "사전 컨설팅이 완료된 후 규제 샌드박스 신청과 지정이 완료되면, 자체 보안대책을 이행하게 된다"며 "금보원은 이전에 수립된 보안대책 이행 여부를 확인할 계획"이라고 설명했다. 이때 금보원은 신청기관이 사전에 수립한 보안대책을 이행하고 있는지 점검해 미흡사항을 통지할 수 있다.

보안대책에 대한 구체적인 의무 규정은 없다. 당국은 각 신청기관에 특화된 금융 보안대책이 마련되는 것이 관건이라고 보고 있다. 서 팀장은 "각 사별로 생성형 AI와 SaaS 활용 모델이 있는 만큼, 환경에 맞는 대책을 마련해 이행하면 된다"고 강조했다.

이날 서 팀장은 금융사가 참조할 만한 생성형 AI 보안대책을 소개했다.

일례로 서버와 상용 AI 모델로 구성된 외부망을 내부에 연계했을 경우, ▲단말기 ▲서버 ▲네트워크에 특화된 보안대책이 필요할 것으로 내다봤다. 생성형 AI에 질의를 할 수 있는 단말기라고 가정했을 때, 개인신용정보(가명처리 정보 제외) 등 중요 데이터가 유출되지 않도록 방지 대책을 마련하는 방식이다. 중요 정보 업로드 사항을 모니터링하거나, 암호화 저장과 같은 보안 조치를 취하는 내용도 보안대책이 될 수 있다.

외부망 연계 구간의 경우 감독규정에 따라 전용 회선 또는 가상사설망(VPN)을 활용할 수도 있다. 생성형 AI를 활용한다는 목적으로 클라우드컴퓨팅서비스를 도입할 경우, 감독규정에서 정한 '안전성 확보조치'를 준용하는 방안을 담을 수도 있다.

22일 '금융분야 망분리 개선 로드맵 업무 설명회'가 열린 금융감독원 대강당 입구가 방문객들로 붐비고 있다.

생성형 AI 모델을 중심으로 공통 혹은 별도 대책을 세우는 것도 방법이다. 일례로 신청기관은 상용 생성형 AI 모델 제공자가 '적대적 공격 방지 대책'을 운용하고 있는지 확인하겠다는 내용을 보안대책에 담을 수 있다. 금융사를 겨냥한 사이버 공격 등이 있을 것을 사전에 막기 위해, AI 모델 기업이 지고 있는 책임 요인을 확인하는 방식이다. 학습용 혹은 참조 데이터를 활용하는 경우, 데이터 위변조 방지를 위한 보안대책이 필요하다.

생성형 AI 운영·관리 차원에서 보안 대책을 세우는 방법도 있다. 생성형 AI 활용 전반을 관리 감독하는 책임자(이하 AI 관리자)를 지정하고, 입출력 데이터 로그를 기록해 위험성을 감시하는 방식이다. 최고정보보호책임자(CISO)와 같이 별도 직책을 세우지 않더라도, 이를 총괄해 관리할 수 있는 담당자를 지명하는 내용을 담을 수도 있다.

서 팀장은 "다른 정보기술(IT) 기술과 달리 생성형 AI의 경우 기술적 요소보다 거버넌스와 정책적 부분도 매우 중요하다"며 "생성형 AI에 대해 형식적으로 '안전하고 신뢰할 수 있다'고 말하기 보다, 임직원을 대상으로 서약서를 징구하는 형태도 생각할 부분"이라고 제언했다.

금융당국은 연내 생성형 AI 신기술을 활용한 '혁신금융서비스'도 지정할 예정이다. 혁신성, 소비자 편익, 보안대책 등을 종합 평가해 올해 12월 중 혁신서비스를 지정한다는 방침이다.