# AI 공격에 AI로 맞선다…금융권 보안 체계 대전환
고성능 인공지능(AI)이 사이버 위협의 새로운 무기로 등장하면서 금융권의 보안 전략이 근본적으로 변화하고 있다. 기존 인력 중심의 대응 체계로는 AI가 만들어내는 공격의 속도와 확산 범위를 따라잡기 어렵다는 판단에서다. 금융위원회는 지난달 22일 고성능 AI를 활용한 보안 위협에 대응하기 위한 방안을 논의했으며, 보안 목적의 AI 활용에 대해 망분리 규제를 한시적으로 완화하기로 결정했다. 금융회사들이 AI를 통해 내부 취약점을 진단하거나 보안 소프트웨어(SaaS) 기반 방어 체계를 도입할 수 있도록 규제의 문턱을 낮춘 것이다. 특히 일정 수준의 보안 역량과 AI 기술력을 갖춘 금융사에 대해서는 향후 망분리 규제를 전면 해제하는 방안도 검토 중이다.
기존 망분리 체계는 내부망과 외부망을 물리적으로 차단해 외부 공격에 노출될 표면을 줄이는 데 강점이 있었다. 그러나 클라우드 환경 확산, SaaS 도입 증가, 생성형 AI 활용이 보편화되면서 업무 효율성과 보안 대응 속도 모두에서 한계가 드러났다. 이에 금융당국은 혁신은 확대하되 보안 통제는 더욱 강화하는 방향으로 규제 체계를 재편하고 있다. 금융회사에는 다중인증, 최소 권한 부여, 접속 로그 기록, 네트워크 암호화 등 보완 조치가 의무화될 전망이다.
망분리 규제 완화 흐름 속에서 새로운 보안 패러다임으로 주목받는 것은 '제로트러스트(Zero Trust)' 모델이다. '아무것도 신뢰하지 말고 항상 확인하라'는 원칙 아래 사용자, 기기, 네트워크 접근을 지속적으로 검증하는 방식이다. 금융보안원은 지난 4월 '금융분야 제로트러스트 보안 안내서'를 발간하며 재택근무, 업무 단말, SaaS, 연구개발, 본지점 간 통신 등 금융권 특화 5개 구간에 대한 구축 사례와 보안 진단 기준을 제시했다.
KB금융그룹은 'AI 공격은 AI로 막는다'는 원칙 아래 AI 에이전트를 활용한 모의해킹과 보안 자동화 시스템을 운영 중이다. 자체 개발한 모의해킹 AI와 외부 전문기관의 AI를 함께 활용해 실전형 점검 체계를 갖췄으며, AI 에이전트와 로봇프로세스자동화(RPA)를 결합한 24시간 보안 모니터링 체계도 구축했다. 그룹 클라우드 환경에는 제로트러스트 체계를 확대 적용하고, AI 레드티밍(AI Red Teaming)을 통해 사전 취약점 탐지도 강화하고 있다.
보험업계에서는 NH농협손해보험이 과학기술정보통신부와 한국인터넷진흥원(KISA)이 추진하는 '2026 제로트러스트 도입 시범사업'에 보험업계 최초로 핵심 수요기관으로 참여했다. 농협손보는 보험 서비스 디지털화가 가속화되는 상황에서 고객 개인정보와 금융 데이터를 보호하려면 기존 경계 보안 방식으로는 내부 침입 이후 공격 확산을 차단하는 데 한계가 있다고 판단했다. 이번 실증사업을 통해 데이터 중심의 '미세격리 모델'을 집중 검증할 계획이다. 미세격리는 서버 한 대, 사용자 한 명 단위로 네트워크를 세분화해 특정 PC가 해킹되더라도 다른 서버나 단말로 공격이 확산되지 않도록 통제하는 구조다. 농협손보는 이번 실증을 바탕으로 AI 기반 적응형 접근통제 시스템을 고도화하고 보험권에 최적화된 제로트러스트 도입 로드맵을 제시하겠다는 방침이다. 업계 관계자는 "보험권의 보안 경쟁력은 단순히 외부 침입을 차단하는 수준을 넘어 모든 접속과 행위를 지속적으로 검증하는 체계를 갖추는 데 달려 있다"며 "고객의 민감한 금융 데이터를 얼마나 안전하게 보호하느냐가 핵심 경쟁력으로 자리잡을 것"이라고 강조했다.
