망분리 규제에 가로막힌 금융권 AI 도입···산으로 가는 금융혁신

글로벌 금융회사들이 생성형 인공지능(AI) 도입에 속도를 내고 있는 가운데 국내 금융권은 '망분리' 규제에 발목 잡혀있다. 보안 강화를 위한 물리적 망분리 규제가 외부 API를 활용한 AI 개발에 걸림돌로 작용하면서 혁신이 지연되고 있다는 지적이다. 금융당국이 부랴부랴 규제 완화에 나섰지만 실효성에는 여전히 의문부호가 달린다.

은행권 디지털 담당 실무자들은 외부망 AI를 내부망으로 이전하려면 보안 심사와 임시망 구축에 수개월이 걸린다고 호소한다. 내부 문서조차 디지털 공유가 쉽지 않아 프로젝트 진행이 지연되는 경우도 있다는 게 현장의 반응이다.

2일 은행권에 따르면 금융권 최초 자체 거대언어모델(LLM)을 개발한 신한은행은 올해 초 서울 서소문지점에 'AI 브랜치' 무인영업점을 개설해 24시간 운영하고 있다. 그러나 AI영업점은 망분리 규제 속에서 제한적으로 구현된 상황이다.

KB국민은행은 금융지주 차원의 AI 플랫폼을 통해 'KB-GPT'와 같은 내부 직원용 생성형 AI를 운영하고 있다. 자산관리 분야에서 부동산 가격추정 AI 모델을 통해 효율을 높이는 방안을 추진 중이지만 클라우드 기반 AI 활용에는 여전히 망분리 규제가 장애물로 작용하고 있다는 지적이 나온다.

하나은행은 AI 기반 기업 신용평가 모델을 도입해 여신 심사 효율화를 추진하고 있으며 생성형 AI를 활용한 계약서 요약, 심사의견 작성도구 도입도 준비 중이다. 외부망 접속이 제한된 환경에서 이러한 기술의 테스트 및 검증이 원활하지 않다는 점은 여전히 숙제다. 우리은행 역시 'AI 뱅커' 등을 운영하고 있지만 API 기반 기능 확장에는 어려움이 있는 상황이다.

이에 금융위원회는 금융분야 망분리 개선 로드맵을 추진하고 있다. 1단계에서는 가명정보를 활용한 테스트 환경에서 외부망 접속을 제한적으로 허용하고, 2단계에서는 일반 사무업무로 활용 범위를 확대한다. 3단계에서는 '디지털 금융보안법'을 제정해 자율보안과 결과 책임 기반 체계를 구축하겠다는 계획이다. 다만 금융권 안팎에서는 절차적으로 실효적이지 않다는 평가가 지배적이다.

2013년 도입된 '망분리' 한계 뚜렷

금융회사의 망분리 규제는 2013년 발생한 시중은행의 사이버테러 사고를 계기로 본격화됐다. 당시 바이러스에 감염된 내부 PC를 통해 영업점 창구와 인터넷뱅킹 서비스가 마비되자 금융당국은 물리적 망분리를 금융보안의 핵심 대책으로 삼았다. 이후 전산실, 본점, 영업점까지 단계적으로 의무화된 망분리는 실제로 금융보안 사고를 줄이는 데 기여해 왔다. 이런 이유로 망분리의 기본 취지는 여전히 정당하다는 평가가 존재한다.

하지만 ICT 환경이 급변하면서 망분리 방식의 한계가 뚜렷해지고 있다. 금융회사가 자체 구축형에서 클라우드 기반 구독형 소프트웨어로 전환하는 시대에 물리적 망분리는 새로운 기술 접목을 가로막는다는 지적이다.

황세운 자본시장연구원 선임연구위원은 "오픈AI API, 생성형AI 기반 SaaS 도구는 대부분 외부망 기반인데 현행 규제로 인해 내부망에선 사용할 수 없어 업무 효율이 떨어진다"고 꼬집었다. 연구개발 단계에서도 오픈소스, API 활용이 어렵고, 고객 맞춤형 서비스 개발에 제약이 발생한다는 설명이다.

황 선임연구위원은 "망분리 규제를 유연화하고 기술 중심의 보안 정책으로 전환해 금융권의 글로벌 경쟁력을 유지해야 한다"며 "단순 완화가 아니라 위험 기반 관리체계 도입과 강력한 사후책임 장치가 병행돼야 한다"고 제언했다.

해외는 '자율+책임'···유연한 망분리가 대세

해외 주요국은 이미 유연한 규제 환경으로 전환하고 있다. 싱가포르통화청(MAS)은 제로 트러스트 보안 체계를 통해 위치보다 행위 기반 접근을 허용하고 있으며, 영국 금융감독청(FCA)은 논리적 망분리 방식과 금융사의 자율 보안 책임을 강조한다.

이탈리아 유니크레딧은 AI 기반 'DealSync' 플랫폼으로 소규모 인수·합병(M&A) 거래를 발굴 중이며, JP모건 체이스는 AI 코딩 어시스턴트로 엔지니어 생산성을 최대 20% 향상시켰다. 씨티그룹은 직원 14만명에게 생성형 AI 도구를 제공해 정책 검색과 문서 요약 효율성을 높이고 있다.

이에 대해 황 선임연구위원은 "미국과 유럽은 망분리를 법령이 아닌 가이드라인 형태로 운영하며, 금융회사 자율을 전제로 사고 발생 시 강력한 사후 책임을 묻는다"며 "해외에서도 물리적 망분리를 택하는 금융회사는 드물며, 대부분 논리적 망세분화 방식으로 보안 관리를 유연하게 수행한다"고 언급했다.

이 밖에도 독일 도이체방크는 AI 윤리 기준을 사내 정책으로 명문화하고, 외부 AI 연동 시 보안 시나리오별 대응체계를 구축하고 있다. 프랑스 BNP파리바는 AI 리스크 매트릭스를 개발해 활용 수준을 측정하고, 사전 보안 적합성 테스트를 통과한 기술만 현업에 적용 중이다. 이처럼 해외 주요 은행들은 'AI 도입' 자체보다 '어떻게 안전하게 도입할 것인가'에 초점을 맞춘 거버넌스 체계를 강화하는 흐름이다.

다만 망분리 규제완화에 따른 보안성 약화 우려는 여전하다. 금융보안원은 망분리 규제가 없으면 금융 시스템이 외부 공격에 더욱 취약해질 수 있다고 경고하고 있다. 규제 완화 시에는 보안 리스크에 대한 철저한 평가와 보완책 마련이 필수적이라는 뜻이다.

실제로 일본의 모 은행은 외부 SaaS 기반 AI 시스템 연동 후 고객정보 일부가 외부 유출된 사례가 보고되기도 했다. 국내에서는 2011년 농협 전산망 마비 사건처럼 전산시스템 전체가 중단된 전례가 있는 만큼 보안을 간과해선 안 된다는 지적이다.

기술·보안·조직이 함께 준비돼야 가능한 '유연한 망분리'

보안 없는 혁신과 혁신 없는 보안 모두 금융산업의 위기로 이어진다는 공감대가 형성되는 분위기다. 혁신과 보안이라는 이중 과제를 풀기 위한 관건은 얼마나 정교하게 제도를 설계할 수 있느냐다.

금융권 안팎에서는 규제가 현실을 따라오지 못하면 금융산업의 미래를 담보할 수 없다는 우려가 적지 않다. 기술 발전에 맞춘 규제 체계 재정비와 지속가능한 AI 거버넌스 체계 구축은 금융권과 금융당국의 최대숙제로 꼽힌다.
특히 전문가들은 망분리 완화의 실효성을 제고하기 위해선 논리적인 망분리 체계와 위협탐지·대응 자동화 체계가 동시에 마련돼야 한다고 제언했다.

서정호 한국금융연구원 부원장은 "AI가 디지털 금융의 핵심 경쟁력이 되는 시대에 망분리 규제가 금융사의 혁신 동기를 저해할 수 있다"며 ""AI 기술은 데이터와 분석도구의 결합을 전제로 하는데, 현재 망분리로 인해 이들이 분리돼 있어 알고리즘 개발과 검증에 어려움이 많다"고 진단했다.

이어 "망분리 환경이 인공지능 도입을 어렵게 하는 제도적 요인이라는 응답이 가장 많았다"며 "규제 준수를 위한 전산설비 비용이 크고, 개발 효율성을 저해해 완화 요구가 지속돼 왔다"고 부연했다.

그러면서 "금융회사가 AI 연구개발의 속도를 높일 수 있도록 물리적 제한을 완화하는 방향으로 규제 개선이 필요하다"며 "중장기적으로는 민간이 주도하는 보안기준을 마련하고 자율규율 체계를 갖출 필요가 있다"고 덧붙였다.