23일 국회 의원회관에서는 ‘AI 금융 규제가 나아가야 할 방향’을 주제로 포럼이 개최됐다. 사진은 발표를 맡은 채상미 이화여자대학교 경영학과 교수(오른쪽 네번째), 강현정 김앤장 변호사(오른쪽 두번째). [정호원 기자]

[헤럴드경제=정호원 기자] 금융사들이 신용평가시스템(CSS)에 AI를 접목해 고도화된 데이터 기반으로 기업의 미래가치를 산정하고 있다. 이상거래탐지시스템(FDS)을 통해 과거 패턴을 분석하며 금융 사기를 실시간으로 예방하는 등 AI 활용 범위를 빠르게 넓히는 추세다.

그러나 금융의 핵심 축으로 부상한 AI 기술을 자체적으로 구축한 금융사는 10% 그칠 정도로 외부 의존도가 높다는 지적이 제기된다. 이 때문에 금융사 절반이 자사 AI 데이터를 제대로 파악하지 못하고 있는 것으로 나타나 이를 개선할 수 있는 제도적 기반을 서둘러야 한다는 목소리가 높다.

지난 23일 핀테크산업협회가 국회 의원회관에서 개최한 ‘AI 금융 규제가 나아가야 할 방향’ 포럼에서 채상미 이화여자대학교 경영학과 교수는 “금융 AI의 사용처·공급망·사고 공유를 유기적으로 연결하는 실행 인프라는 아직 보완이 필요하다”고 밝혔다.

먼저 ‘외부 벤더(공급사)에 대한 높은 의존도’를 선결 과제로 꼽았다. 채 교수가 발표한 국내외 금융권 AI 도입 실태조사에 따르면, AI 서비스를 도입한 금융사 중 자체 모델을 개발한 곳은 10%에 불과했다. 대부분은 외부 공급사에 의존하고 있었으며, 이 중 33%는 클라우드 인프라, AI 모델, 학습 및 운영 데이터 등 핵심 요소 전부를 외부 공급자에 의존하는 것으로 나타났다.

문제는 이처럼 제3자 공급망에 의존하다 보니, 금융사의 46%가 자사 내부에서 AI가 구체적으로 어디에 어떻게 쓰이고 있는지(사용처) 조차 완전히 파악하지 못하고 있다는 점이다. 채 교수는 “향후 금융당국이 금융사를 관리·감독할 때 AI 사용 여부뿐만 아니라 모델과 데이터, 서비스를 어디서 공급받는지, 모델 변경 권한은 누구에게 어디까지 있는지 등을 명확히 파악해야 한다”고 강조했다.

이에 현재 보완이 필요한 ‘5대 공백’으로 ▷AI 사용처 인벤토리 및 중요도 평가 기준의 표준화 부족 ▷모델·데이터 계보, 변경 이력, 운영 로그의 감사 표준 부족 ▷외부 모델·클라우드·데이터 공급망의 집중 위험 관리 미흡 ▷딥페이크 및 보이스피싱 신호 공유를 막는 법적 불확실성 ▷에이전틱 AI(Agentic AI)가 거래·계약을 수행할 때의 책임 배분 불명확 등을 제시했다.

이를 해결하기 위해 채 교수는 금융사의 AI 리스크 관리를 기존의 ‘사전 승인 문서’ 중심에서 ‘운영 증거 기반 감독’으로 전환해야 한다고 주장했다. 감독기관이 금융사에 소스코드 제출을 요구하는 대신, 모델이 안전하게 작동하고 있음을 입증할 수 있는지 요구해야 한다는 의미다. 나아가 금융회사가 AI 사용처를 등록하고 중요도 평가를 주기적으로 갱신하도록 하며, 중대한 모델 변경이 있을 때는 위험 등급에 따라 신고·검증·소비자 고지 요건을 차등 적용해야 한다고 덧붙였다.

금융위원회와 금융감독원은 올해 하반기 ‘금융 AI 가이드라인’을 시행하는 가운데, 강현정 김앤장 법률사무소 변호사는 “모범사례 및 업권별 자율규제를 기반으로 하는 권고적 가이드라인이자 위험관리 방향에 대한 규범”이라고 설명했다. 특히 가이드라인에 포함된 ‘의사결정기구 및 전담조직 구성’의 중요성을 강조했다. 가이드라인에 따르면 금융사 내 AI 의사결정기구는 AI 관련 내규의 제·개정, 고위험·고영향 AI 서비스의 승인 등 중요 사항을 심의·의결하고, 위험관리 정책 수립 및 이사회 보고 조치를 담당하게 된다. 이와 함께 독립적인 위험관리 전담조직을 두어 위험관리 전반을 총괄하고, 관련 법규상 각종 의무 준수 여부를 철저히 관리·감독하도록 할 방침이다.