# AI 공격에 AI로 맞선다…금융권 보안 체계 대전환
고성능 인공지능(AI)을 활용한 사이버 공격이 급증하면서 금융권의 보안 패러다임이 근본적으로 변화하고 있다. 전통적인 인력 중심의 보안 대응만으로는 AI 기반 공격의 속도와 정교함을 따라잡기 어렵다는 판단 아래, 금융당국과 금융회사들이 ‘AI 대 AI’ 방어 체계 구축에 속도를 내고 있다.
금융위원회는 지난달 22일 고성능 AI 위협에 대응하기 위한 보안 방안을 논의한 자리에서 보안 목적의 AI 활용에 대해 망분리 규제를 한시적으로 완화하기로 결정했다. 금융회사들이 AI를 활용해 내부 취약점을 진단하거나 보안 SaaS 기반의 방어 시스템을 구축할 수 있도록 규제의 문턱을 낮춘 것이다. 일정 수준의 보안·AI 역량을 갖춘 금융사에 대해서는 향후 망분리 규제를 전면 해제하는 방안도 검토 중이다.
기존 망분리 체계는 내부망과 외부망을 물리적으로 분리해 외부 공격 표면을 줄이는 데 효과적이었다. 그러나 클라우드와 생성형 AI 도입이 확대되면서 업무 효율성과 보안 대응 속도에서 한계가 드러났다. 이에 금융당국은 혁신을 촉진하면서도 보안 통제를 강화하는 방향으로 규제 틀을 재설계하고 있다. 금융회사에는 다중인증, 최소 권한 부여, 접속 로그 수집, 네트워크 암호화 등 보완 통제가 의무화된다.
망분리 규제 완화 흐름 속에서 새로운 보안 모델로 주목받는 것은 ‘제로트러스트’다. ‘절대 신뢰하지 말고 항상 검증하라’는 원칙 아래 사용자, 단말, 네트워크 접근을 지속적으로 확인하는 방식이다. 금융보안원은 지난 4월 ‘금융분야 제로트러스트 보안 안내서’를 발간하고 재택근무, 업무 단말, SaaS, 연구·개발, 본·지점 간 통신 등 5개 구간에 대한 구축 기준을 제시했다.
KB금융그룹은 AI 에이전트를 활용한 모의해킹과 보안업무 자동화 체계를 운영 중이다. 자체 개발한 모의해킹 AI와 외부 전문기관 AI를 병행 활용해 실전형 점검 체계를 구축했으며, AI 에이전트와 RPA를 결합한 24시간 보안 모니터링 체계도 마련했다. 그룹 클라우드 환경에는 제로트러스트 체계를 확대 적용하고, AI 레드티밍을 통해 취약점을 사전에 식별하고 있다.
보험업계에서는 NH농협손해보험이 과기정통부와 KISA가 추진하는 ‘2026 제로트러스트 도입 시범사업’에 보험업계 최초 핵심 수요기관으로 참여했다. 농협손보는 보험 서비스 디지털화가 가속화되는 상황에서 기존 망분리 중심 경계 보안이 내부 침입 이후 공격 확산을 막는 데 한계가 있다고 판단, 데이터 중심의 ‘미세격리 모델’을 집중 검증할 계획이다. 미세격리는 서버 한 대, 사용자 한 명 단위로 네트워크를 세분화해 특정 PC가 해킹되더라도 다른 서버나 단말로 공격이 확산되지 않도록 통제하는 구조다. 농협손보는 이번 실증을 통해 AI 기반 적응형 접근통제 시스템을 고도화하고 보험권에 최적화된 제로트러스트 도입 로드맵을 제시할 예정이다.
