금융회사가 프런티어 AI 보안위협에 적극적으로 대응할 수 있도록 면책 조치와 가이드라인을 마련하였습니다.

금융위원회는 지난 6월 30일 면책심의위원회를 열어 금융회사들이 프런티어 AI 보안위협에 적극 대응할 수 있도록 AI 보안테스트와 보안패치 과정에서 발생하는 전산장애에 대한 면책 조치를 의결했습니다. 아울러 금융회사들이 AI 보안위협에 효과적으로 대응하기 위한 구체적인 행동요령을 담은 가이드라인도 마련해 배포했습니다.

이번 조치는 지난 5월 22일 열린 고성능 AI 보안위협 대응 간담회의 후속 조치로, 금융위원회는 금융감독원, 금융보안원 등 유관기관과 함께 업계 의견을 수렴하고 AI·보안·법률 전문가로 구성된 민간기술자문단의 조언을 반영해 최종 방안을 확정했습니다.

프런티어 AI는 현재 가장 높은 수준의 성능과 범용성을 갖춘 AI 모델을 말합니다. 이러한 AI는 기존 보안 위협과 달리 그 실체와 능력 범위가 충분히 규명되지 않아 위협의 강도나 예상되는 공격 기법을 사전에 가늠하기 어렵다는 특징이 있습니다.

그동안 금융업계는 프런티어 AI 위협에 대응하기 위해서는 금융회사들이 보안 조치 과정에서 발생할 수 있는 경미한 전산장애에 대한 부담을 덜어줄 면책 조치가 필요하다는 의견을 지속적으로 제기해 왔습니다. 특히 보안 목적의 AI를 활용한 공격 표면 점검이나 취약점 확인, 보안 취약점에 대한 패치 작업 과정에서 전산 시스템 오작동 우려가 있어 임직원들이 적극적인 조치를 취하는 데 한계가 있다는 지적이 있었습니다.

이번 면책 조치에 따라 금융회사들은 보안 목적 AI를 활용해 테스트를 진행하거나 금융위원회, 금감원, 금보원 등에서 전파하는 보안 취약점에 대한 보안패치를 실행하는 과정에서 경미한 전산장애가 발생하더라도 신속한 복구와 소비자 보호 조치가 이루어졌다면 기관이나 임직원에 대한 신분 제재나 과태료 부과 등이 면책됩니다.

면책 대상은 보안 목적 AI를 통한 상시적인 취약점·포트 스캐닝, 자동화된 침투 시도 등 보안테스트와 금융당국이 전파하는 보안 취약점에 대한 긴급 보안 패치, 전산장비 변경 등을 포함합니다.

면책 요건으로는 경미한 전산장애에 대해 신속한 복구 수단과 소비자 보호 조치를 마련하고 이행했는지 여부를 종합적으로 고려합니다. 경미한 전산장애란 고의성이 없고 금전 피해가 1억원 미만, 시스템 장애 시간이 최대 4시간 이내, 고객정보 유출이 개인신용정보를 제외하고 1만건 미만인 경우를 말합니다.

신속한 복구 수단으로는 사전 테스트, 피해 확산 방지, 서비스 연속성 확보를 위한 작업계획서를 경영진에 보고하고 실시한 경우가 해당됩니다. 소비자 보호 조치는 홈페이지나 문자 등을 통해 보안테스트나 패치 일시, 대상, 내용, 대체 서비스 경로 등을 고객에게 사전 안내하고 피해 발생 시 구제 조치를 마련·실행한 경우를 말합니다.

면책 범위는 기관과 임직원에 대한 제재·신분제재와 과태료를 포함하지만, 신용정보법에 따른 개인신용정보 유출사고가 발생한 경우에는 이번 면책 조치와 관계없이 해당 법률에 따른 제재가 그대로 적용됩니다.

금융위원회는 이와 함께 금융회사들이 프런티어 AI 보안위협에 보다 적극적으로 대응할 수 있도록 6개 분야의 대응 요령을 담은 가이드라인을 배포했습니다. 이 가이드라인은 금융회사가 효과적으로 대응할 수 있는 행동 요령이나 모범 사례를 제시하기 위한 것으로, 이를 준수하지 않더라도 제재 등 불이익은 부과되지 않습니다.

첫째, 경영진 책임 강화입니다. 금융회사의 이사회와 CEO는 AI 보안위협에 적극 대응해야 하며, 이사회 내 정보보호위원회 등에서 보안위협을 핵심 안건으로 다루고 CISO에게 실질적인 예산 편성권과 인력 운영 권한을 부여하는 것이 바람직합니다. AI 보안 위협 모니터링과 신속한 대응을 위해 CISO 직속 대응반을 구성·운영할 수 있으며, 이 대응반은 보안 담당자를 포함해 네트워크, 시스템 인프라, 개발·배포 파이프라인, 데이터 엔지니어링 등 IT 전 분야 담당자로 구성하는 것이 좋습니다.

둘째, 취약점 및 패치 관리입니다. AI를 활용한 보안테스트가 활발해지면서 취약점 발견이 빠르게 늘어날 수 있으므로, 보안 패치 관리의 중심을 취약점 제거에서 공격 성공 가능성을 감소시키는 것으로 전환해야 합니다. 많은 보안패치 작업을 한정된 시한 내에 처리해야 하므로 정교한 패치 우선순위 설정이 필요하며, 고위험 취약점은 일 단위로 관리하거나 패치가 지연되는 시스템은 임시 격리, 서비스 제한 등의 방법을 강구해야 합니다.

셋째, 자산·공급망 관리 강화입니다. AI는 금융회사의 공격 표면을 빠르게 탐색할 수 있으므로 보유한 전산자원과 공급망을 정확히 식별·관리하는 것이 중요합니다. 시스템, 애플리케이션, API, 클라우드, 오픈소스, 위탁업체 등 모든 자산을 명확히 파악하고 인터넷 노출 여부, 업무 중요도, 데이터 민감도, 패치 상태 등을 기준으로 구분해 종합적으로 관리해야 유사시 즉시 대응이 가능합니다.

넷째, AI 기반 방어 자동화입니다. AI 기반 공격에 대비해 보안시스템 자동화 체계를 마련할 수 있지만, 오탐지나 과잉 대응, 서비스 장애 가능성에 대비해 업무 위험도 등을 고려해 자동화 수준을 차등화할 필요가 있습니다. 예를 들어 저위험 자산은 완전 자동화하고, 중위험 자산은 조건부 자동화, 고위험 자산은 보안담당자나 CISO의 최종 승인 후 차단이 실행되도록 하는 방식입니다.

다섯째, 금융권 공동대응 및 시스템 복원력 강화입니다. 프런티어 AI 기반 침해 공격은 기존보다 훨씬 빈번하고 집요하게 이뤄질 것으로 예상되므로 사고 발생 가능성을 전제로 신속한 사후 관리 대책을 수립해야 합니다. 공격 IP나 보안위험이 식별된 부분에 대한 실시간 격리 체계를 마련하고 업무연속성계획이 차질 없이 이행될 수 있도록 대응체계를 구축하는 것이 좋습니다. 개별 금융회사 차원의 대응에는 한계가 있으므로 금융AI보안연구소와 함께 위험 정보 공유, 공동 탐지 룰 마련, 공급망 공동 점검 등 공동 대응체계를 마련합니다.

여섯째, 침해확산 방지입니다. AI 기반 공격은 초기 침투 이후 내부 시스템 전체로 빠르게 확산될 수 있으므로 제로트러스트 기반 보안체계 구축에 노력을 기울여야 합니다. 공격자가 항상 내부에 침입했을 수 있다고 가정해 다중 인증 체계, 최소 권한 부여, 휴면계정 제거, 중요 데이터 접근 시 검증 등 접근통제 체계를 강화하고 네트워크 세분화 등 시스템 간 격리 체계를 마련해야 합니다.

이번 가이드라인은 1~3차에 걸친 보안목적 AI 테스트 결과 등을 반영해 지속적으로 업데이트될 예정이며, 업데이트 내용은 금융보안원 홈페이지에서 확인할 수 있습니다.

금융위원회는 "프런티어 AI 보안위협 관련 국내외 상황이 빠르게 변화하고 있는 만큼, 금융회사의 불안감을 낮추고 적극적인 보안강화 조치를 유도하는 데 방점을 두고 이번 방안을 마련했다"고 설명했습니다. 그러면서 "이번 면책 방안과 가이드라인 배포를 통해 금융업계가 보다 적극적이고 신속하게 전산자원 관리, 취약점 탐지, 보안 패치 적용 등 관리 강화 조치에 나서주길 기대한다"고 밝혔습니다.

아울러 "앞으로도 프런티어 AI 관련 국내외 상황 변화와 망분리 규제 완화 등을 통한 AI 보안테스트 결과를 반영해 가이드라인 등을 유연하고 신속하게 보완해 나갈 계획"이며, "망분리 규제 전면 해제 등을 포함해 금융권의 AI 대전환을 지원할 다양한 정책 과제를 적극적으로 추진해 나갈 예정"이라고 덧붙였습니다.



출처: 대한민국 정책브리핑 [원문보기]

⚖️ 본 콘텐츠는 AI가 재구성한 것으로, 저작권은 원 저작자(대한민국 정책브리핑)에게 있습니다. 저작권자 요청 시 즉시 삭제됩니다.