

금융위원회가 ‘프런티어 인공지능(Frontier AI)’ 보안위협에 대응하는 금융회사의 보안테스트와 보안패치 과정에서 경미한 전산장애가 발생하더라도 일정 요건을 충족하면 제재 대상에서 제외하기로 했다. 금융회사가 전산장애 우려로 보안 조치를 늦추지 않도록 제도적 부담을 줄이고, 금융권 공동 대응체계를 강화하겠다는 취지다. 금융위원회는 지난달 30일 김범기 상임위원장 주재로 면책심의위원회를 열고, AI 보안테스트·보안패치 과정에서 발생하는 전산장애에 대한 면책조치를 심의·의결했다고 2일 밝혔다. 이와 함께 금융회사들이 현장에서 참고할 수 있는 ‘프런티어 AI 보안 위협 금융분야 대응요령’ 가이드라인도 배포했다. 프런티어 AI는 현재 가장 높은 수준의 성능과 범용성을 갖춘 AI 모델을 말한다. 이번 조치는 ‘미토스(Mythos)’ 등 고성능 AI가 금융권 보안체계에 새로운 위협으로 떠오른 데 따른 것이다. ■ 보안조치 중 금전 피해 1억원 미만 ‘경미한 장애’는 면책 면책 대상은 금융회사가 보안 목적으로 AI를 활용해 상시 취약점·포트 스캐닝, 자동화된 침투 시도 등 보안테스트를 진행하는 경우와 금융위원회·금융감독원·금융보안원이 전파한 보안 취약점에 대해 긴급 보안패치나 이에 준하는 전산장비 변경을 하는 경우다. 다만 보안목적 AI 테스트는 지난 5월 22일 발표한 망분리 규제 완화 테스트 선정기관과 금융보안원이 실시하는 AI 취약점 점검 대상기관으로 한정된다. 면책 요건은 경미한 전산장애, 신속한 복구 수단, 소비자 보호조치 마련·이행 여부 등을 종합적으로 고려해 판단한다. 경미한 전산장애는 고의성이 없고 금전 피해가 1억원 미만이며 시스템 장애 시간이 최대 4시간 이내인 경우 등을 뜻한다. 고객정보 유출은 개인신용정보를 제외하고 1만건 미만인 경우가 기준이다. 신속한 복구 수단은 보안테스트나 패치 적용 전 정상 작동 여부를 미리 점검하고, 장애 발생 시 서비스 중단을 최소화할 수 있는 복구 계획을 마련하는 방식이다. 소비자 보호조치는 보안테스트 또는 패치 일정과 대상, 대체 서비스 이용 방법 등을 홈페이지나 문자로 사전에 안내하고, 피해가 발생하면 구제 절차를 실행하는 내용이 포함된다. 면책 범위는 기관과 임직원에 대한 제재·신분제재, 과태료를 포괄한다. 다만 신용정보법상 개인신용정보 유출사고는 이번 면책조치와 관계없이 해당 법에 따른 제재가 적용된다. ■ 금융보안원, 경영진 책임·패치관리 기준 등 대응요령 제시 금융위원회와 금융보안원은 대응요령 가이드라인을 ▲경영진 책임 강화 ▲취약점 및 패치관리 ▲자산·공급망 관리 ▲AI 기반 방어 자동화 ▲금융권 공동대응 및 시스템 복원력 강화 ▲침해확산 방지 체계 등 6개 분야로 구분했다. 먼저 가이드라인은 금융회사의 이사회와 최고경영자(CEO)가 AI 보안위협을 핵심 경영리스크로 인식하고 대응해야 한다고 제시했다. 또 최고정보보호책임자(CISO)에게 실질적인 예산 편성권과 인력 운영 권한을 부여하는 것이 바람직하다고 봤다. CISO 직속 대응반을 구성해 위협 상황을 모니터링하고, 취약점 인지·패치·개발 등 조치기간을 줄이는 방안도 제시했다. 취약점 관리는 단순 제거보다 공격 성공 가능성을 줄이는 방향으로 전환하도록 했다. 고위험 취약점은 일 단위로 관리하고 취약점 심각도와 악용 가능성, 핵심 업무·자산 영향도, 대외 노출도, 주요 법령 준수 여부 등을 고려해 패치 우선순위를 정하도록 했다. 자산·공급망 관리도 강화된다. 금융회사는 시스템, 애플리케이션, API, 클라우드, 오픈소스, 위탁업체 등 모든 전산자원을 통합적으로 파악하고 인터넷 노출 여부, 업무 중요도, 데이터 민감도, 패치 상태 등을 기준으로 관리해야 한다. 오픈소스 소프트웨어 구성명세서(SBOM) 작성과 소프트웨어 분석 도구(SCA) 활용도 권고됐다. AI 기반 방어 자동화는 업무 위험도에 따라 차등 적용하도록 했다. 저위험 업무는 완전 자동화, 중위험 업무는 조건부 자동화, 계정계·결제·이체·인증DB 등 고위험 업무는 보안 담당자나 CISO 승인 후 조치하는 방식이다. 금융위원회는 “이번 대응요령은 금융회사들이 참고할 행동요령과 모범사례를 제시하기 위한 것으로, 이를 준수하지 않더라도 제재 등 불이익은 없다”며 “향후 보안목적 AI 테스트 결과와 국내외 상황 변화를 반영해 가이드라인을 지속적으로 보완할 계획”이라고 밝혔다.


