# AI 시대 금융보안 패러다임 전환…자율보안체계 도입 속도
인공지능(AI)과 클라우드 기술이 금융권 전반으로 확산되면서 기존 외부망 차단 위주의 보안 체계가 한계를 드러내고 있다. 금융보안원은 이 같은 환경 변화에 대응해 금융회사 스스로 보안 수준을 진단하고 개선하는 자율보안체계 구축이 본격화되고 있다고 30일 밝혔다.
금융보안원의 조사 결과, 미국·일본·유럽연합(EU)·홍콩 등 주요국 금융권은 사이버 보안을 핵심 위험 요소로 간주하고 자율적인 보안 관리 체계를 발전시켜 왔다. 특히 국내처럼 일률적인 보안 통제를 적용하기보다 각 금융회사가 업무 특성과 위험 수준에 맞는 맞춤형 보안 정책을 수립하도록 유도하는 방식이 공통적인 특징으로 나타났다.
미국의 경우 국립표준기술연구소(NIST)가 개발한 사이버보안 프레임워크(CSF)를 바탕으로 거버넌스와 자산 식별, 보호, 탐지, 대응, 복구 등 보안 전 분야를 체계적으로 관리하고 있다. 여기에 글로벌 금융회사들이 참여하는 비영리단체 CRI(Cyber Risk Institute)가 개발한 ‘CRI Profile’이 금융회사와 미국 재무부 등에서 폭넓게 활용되고 있다. 일본과 홍콩은 정부 주도로 금융권 특화 자율보안 체계를 운영 중이며, EU는 디지털 운영 복원력 관련 법률을 통해 위험관리 체계를 제도화했다.
국내에서도 자율보안체계 도입이 가시화되고 있다. 금융보안원이 올해 2월 공개한 ‘금융보안 수준진단 프레임워크’를 기반으로 금융회사들이 자체 보안 진단을 진행 중이다. 이 프레임워크는 해외 선진 보안 모델을 참고해 금융보안원과 국내 금융회사가 공동 개발한 국내 금융권 특화 기준이다. 올해는 18개 금융회사에 대한 현장 진단이 지원됐으며, 유선·이메일 상담과 실무자 교육을 통한 역량 강화도 병행됐다.
고성능 AI를 악용한 사이버 공격인 미토스(Mythos) 등 새로운 위협이 증가하는 상황에서 자율보안체계의 중요성은 더욱 커지고 있다. 이에 금융당국도 지난 5월 ‘고성능 AI 관련 금융권 보안 위협 대응 방안’을 발표하고 망분리 규제 개선을 추진하는 등 제도적 지원에 나섰다. 박상원 금융보안원장은 “금융회사의 자율보안 역량이 글로벌 수준에 도달할 수 있도록 지원을 지속하겠다”고 밝혔다.
