

인공지능(AI)과 클라우드 기술 확산으로 금융권의 보안 환경이 빠르게 변화하면서 금융회사가 스스로 보안 수준을 점검하고 개선하는 ‘자율보안체계’ 구축이 본격화되고 있다. 금융보안원은 국내 금융회사의 자율보안 역량 강화를 지원하기 위해 미국과 일본, 유럽연합(EU), 홍콩 등 주요국 금융권의 자율보안 운영 사례를 조사·분석했다고 30일 밝혔다. 그동안 국내 금융권은 외부 네트워크와 내부 시스템을 분리하는 망분리 정책을 중심으로 보안 체계를 운영해왔다. 그러나 AI 활용이 금융 서비스 전반으로 확대되면서 기존 경계기반 보안만으로는 새로운 위협에 대응하는 데 한계가 있다는 지적이 제기되고 있다. 특히 최근 미토스(Mythos) 등 고성능 AI를 악용한 사이버 공격 가능성이 커지면서 금융회사가 자체적으로 보안 수준을 관리하고 지속적으로 개선하는 체계가 중요해지고 있다는 분석이다. 이 같은 흐름에 맞춰 금융당국도 제도 개선에 나섰다. 금융위원회는 지난 5월 ‘고성능 AI 관련 금융권 보안 위협 대응 방안’을 발표하고 망분리 규제 개선을 추진하는 등 새로운 보안 체계 마련을 지원하고 있다. 금융보안원 조사에 따르면 해외 주요국은 디지털 금융 환경에서 사이버 보안을 핵심 위험 요소로 인식하고, 금융회사가 자율적으로 보안 상태를 진단하고 개선하는 체계를 지속적으로 발전시켜 왔다. 국내처럼 일률적인 보안 통제를 적용하기보다 각 금융회사가 업무 특성과 위험 수준에 맞는 보안 정책을 수립하도록 하는 방식이 공통적인 특징이다. 미국은 국립표준기술연구소(National Institute of Standards and Technology, NIST)가 개발한 사이버보안 프레임워크(Cyber Security Framework, CSF)를 기반으로 거버넌스와 자산 식별, 보호, 탐지, 대응, 복구 등 보안 전 영역을 체계적으로 관리하고 있다. 여기에 글로벌 금융회사들이 참여하는 비영리단체 CRI(Cyber Risk Institute)는 금융권 환경에 맞게 보완한 ‘CRI Profile’을 개발해 금융회사와 미국 재무부 등에서 활용하고 있다. 일본과 홍콩 역시 정부 주도로 금융권 맞춤형 자율보안 체계를 운영하고 있으며, 유럽연합은 디지털 운영 복원력 관련 법률을 통해 금융회사의 보안 관리 기준을 제도화하는 등 위험관리 체계를 강화하고 있는 것으로 나타났다. 국내에서도 자율보안체계 도입이 본격화되고 있다. 금융보안원이 올해 2월 공개한 ‘금융보안 수준진단 프레임워크’를 기반으로 금융회사들이 자체 보안 진단을 실시하고 있다. 해당 프레임워크는 해외 선진 보안 모델을 참고해 금융보안원과 국내 금융회사가 공동 개발한 국내 금융권 특화 기준이다. 금융보안원은 올해 18개 금융회사를 대상으로 현장 진단을 지원하는 한편 유선·이메일 상담과 실무자 교육 등을 통해 금융회사의 자체 진단 역량도 지원하고 있다. 앞으로는 해외 우수 사례를 반영해 프레임워크를 지속적으로 고도화하고, 금융권의 우수 보안 사례를 발굴·공유해 자율보안체계가 안정적으로 정착할 수 있도록 지원할 계획이다. 박상원 금융보안원장은 “고성능 AI를 활용한 새로운 보안 위협이 늘어나면서 금융회사가 스스로 보안 수준을 진단하고 개선하는 자율보안체계의 중요성이 더욱 커지고 있다”며 “금융보안 수준진단 프레임워크를 중심으로 금융회사의 자율보안 역량이 글로벌 수준에 도달할 수 있도록 다각적인 지원을 이어가겠다”고 말했다. 주옥진 기자 대한민국 보험과 은행, 금융을 읽는 [한국보험신문]


