금융위원회, ‘프런티어 AI’ 보안조치 중 전산장애 면책

# 금융당국, AI 보안테스트 전산장애 제재 면제…금융권 공동대응 강화

금융권이 고성능 인공지능(AI) 보안 위협에 대응하는 과정에서 발생하는 전산 장애에 대해 문턱을 낮췄다. 금융위원회는 지난달 30일 면책심의위원회를 열고 이 같은 내용을 심의·의결했다고 2일 밝혔다. 이번 조치는 금융회사들이 보안 위험을 우려해 AI 기반 취약점 점검과 패치를 미루는 상황을 방지하기 위한 취지다. 특히 ‘미토스(Mythos)’와 같은 첨단 AI 모델이 새로운 보안 위협으로 부상한 점이 배경으로 작용했다.

기사 이미지

면책이 적용되는 전산장애는 일정 요건을 충족해야 한다. 고의성이 없고 금전 피해가 1억원 미만이면서 시스템 장애 시간이 4시간을 넘지 않는 경우가 이에 해당한다. 고객정보 유출 기준은 개인신용정보를 제외하고 1만건 미만으로 정해졌다. 신속한 복구 수단과 소비자 보호조치 마련·이행 여부도 종합적으로 고려된다. 면책 대상은 AI 보안테스트와 긴급 보안패치 과정에서 발생한 장애로 한정되며, 기관과 임직원에 대한 제재·과태료가 모두 포함된다. 다만 신용정보법상 개인신용정보 유출 사고는 별도 법률에 따라 처리된다.

기사 이미지

금융위원회와 금융보안원은 현장 참고용 가이드라인도 함께 배포했다. 가이드라인은 경영진 책임 강화, 취약점 및 패치 관리, 자산·공급망 관리, AI 기반 방어 자동화, 금융권 공동대응 및 시스템 복원력 강화, 침해확산 방지 체계 등 6개 분야로 구성됐다. 특히 이사회와 최고경영자(CEO)가 AI 보안위협을 핵심 경영리스크로 인식해야 한다는 점이 강조됐다. 최고정보보호책임자(CISO)에게는 예산 편성권과 인력 운영 권한을 실질적으로 부여하는 방안이 권고됐다.

취약점 관리는 단순 제거보다 공격 성공 가능성을 낮추는 방향으로 전환해야 한다는 내용도 포함됐다. 고위험 취약점은 일 단위로 관리하고, 심각도와 악용 가능성, 핵심 업무 영향도 등을 고려해 패치 우선순위를 정하도록 했다. AI 기반 방어 자동화는 업무 위험도에 따라 저위험 업무는 완전 자동화, 중위험은 조건부 자동화, 고위험 업무는 CISO 승인 후 조치하는 등 차등 적용 방식을 제시했다.

금융위원회는 이번 가이드라인이 강제성이 없는 참고자료임을 분명히 했다. 준수하지 않더라도 제재는 없지만, 향후 보안목적 AI 테스트 결과와 국내외 상황 변화를 반영해 지속적으로 보완하겠다는 방침이다. 업계에서는 이번 조치가 금융권의 AI 보안 역량을 높이는 계기가 될 것으로 보고 있다. 특히 보험업계에서도 고객 데이터 보호와 시스템 안정성 측면에서 적극적인 대응이 필요할 것이라는 분석이 나온다.

출처: 한국보험신문 ✓ 협약 승인 [원문보기]

⚖️ 본 콘텐츠는 AI가 재구성한 것으로, 저작권은 원 저작자(한국보험신문)에게 있습니다. 저작권자 요청 시 즉시 삭제됩니다.