일정 범위 내 신분제재, 과태료 등 면책
AI 보안위협 관련 보안패치 우선순위 등
금융권 대응요령 가이드라인 마련·배포
![]() |
| 사진은 기사와 무관함 [123rf] |
[헤럴드경제=김은희 기자] 금융당국이 금융권의 적극적인 고성능 인공지능(AI) 보안 대응을 유도하기 위해 파격적인 면책 카드를 꺼내 들었다. 금융사가 보안 목적 AI로 시스템 취약점을 테스트하거나 보안 취약점에 대한 패치를 실행하다가 전산장애를 내더라도 제재를 받지 않게 된다.
다만 고의성이 없는 1억원 미만의 금전 피해 등 경미한 사고여야 하며 작업계획서 기반의 신속한 복구와 대고객 안내 등의 소비자 보호 조치를 모두 이행해야 면책받을 수 있도록 했다.
금융위원회는 지난달 30일 면책심의위원회를 열고 AI 보안테스트·보안패치 과정에서 발생하는 전산장애에 대한 면책조치를 심의·의결했다고 2일 밝혔다.
이는 앤트로픽의 고성능 AI인 미토스를 포함한, 이른바 ‘프런티어 AI’의 보안위협에 금융권이 적극 대응해 치밀한 보안강화 조처를 하도록 지원하기 위한 것이다. 금융위는 앞서 지난 5월 22일 ‘고성능 AI 보안위협 대응 간담회’를 열고 보안 목적으로 AI를 활용하는 경우에 한해 망분리 규제를 완화하는 등의 금융권 보안위협 대응 방안을 마련한 바 있다.
면책 대상은 ▷보안 목적의 AI를 통해 상시적인 취약점·포트 스캐닝, 자동화된 침투 시도 등 보안테스트를 시행하거나 ▷금융위·금융감독원·금융보안원에서 전파하는 보안 취약점에 대해 긴급 보안 패치(운영체제·소프트웨어 등) 또는 이에 준하는 전산장비 변경 등을 포괄한다.
면책 요건은 경미한 전산장애에 대해 신속한 복구 수단과 소비자 보호조치 마련·이행 여부 등을 종합적으로 고려할 예정이다.
경미한 전산장애는 ‘금융회사의 검사 및 제재에 관한 규정 시행세칙’의 제재대상·기준에 해당하지 않는 정보기술(IT) 사고로 ▷고의성이 없고 ▷금전피해(1억원 미만) ▷시스템 장애 시간(최대 4시간 이내) ▷고객정보 유출(개인신용정보 제외, 1만건 미만) 등이 일정기준 이내에 해당해야 한다.
신속한 복구 수단은 사전테스트와 피해확산 방지, 서비스 연속성 확보를 위한 작업계획서를 마련해 경영진에 보고하고 실시한 경우를 뜻한다. 소비자 보호조치는 홈페이지나 문자메시지(SMS) 등을 통해 보안테스트·패치 일시와 내용, 대체 서비스 경로를 고객에게 사전에 안내하고 피해 발생 시 구제조치를 실행해야 인정받는다.
면책 범위는 기관과 임직원에 대한 신분제재는 물론 과태료까지 포괄한다. 다만 신용정보법에 따른 개인신용정보 유출사고가 발생했을 때는 기존 법에 따른 제재가 그대로 적용된다.
금융위는 AI 보안위협에 효과적으로 대응하기 위한 금융사의 행동요령을 담은 가이드라인 ‘프런티어 AI 보안위협 금융분야 대응요령’도 배포했다.
가이드라인에는 ▷경영진 책임 강화 ▷취약점 및 패치관리 ▷자산·공급망 관리 ▷AI 기반 방어 자동화 ▷금융권 공동대응 및 복원력 강화 ▷침해확산 방지 체계 등 6개 분야의 대응요령이 담겼다.
특히 AI 보안위협 대응에 대한 경영진 책임을 분명히 했다. 이사회 내 정보보호위원회 등에서 보안위협을 핵심 안건으로 다루고 최종 책임자인 이사회와 최고경영자(CEO)는 정보보호최고책임자(CISO)에게 실질적인 예산 편성권과 인력 운영의 권한을 부여하는 것이 바람직하다고 가이드라인은 권고했다.
가이드라인은 1~3차에 걸친 보안목적 AI 테스트 결과 등을 반영해 업데이트해 나갈 계획이다.
금융위는 “망분리규제 전면해제 등을 포함해 금융권의 AI 대전환을 지원할 다양한 정책과제를 적극적으로 추진해 나갈 예정”이라며 “금융업계가 더욱 신속하게 전산자원 관리·취약점 탐지·보안 패치 적용 등 관리강화 조치에 나서달라”고 당부했다.




