13년 만에 깨진 금융 망분리···금융권이 '미토스 쇼크'에 대처하는 법

"AI 공격은 AI 방패로 막는다." 2013년 대규모 정보유출 사태 이후 금융권을 옥죄던 물리적 '망분리'의 빗장이 13년 만에 열린다.

미국 앤트로픽의 보안 인공지능(AI) 모델 '미토스(Mythos)'의 등장으로 사이버 공격의 패러다임이 완전히 바뀌었기 때문이다. 미토스 쇼크라는 사상 초유의 보안 위기 앞에 금융권은 AX(인공지능 대전환)와 보안 강화라는 '양날의 검'을 쥐게 됐다.

'물리적 격리' 13년···AI 진화에 철옹성 방패 균열

국내 금융권의 보안 시계는 13년 전인 2013년에 멈춰 있다. 당시 용역업체 직원 1명이 KB국민은행·NH농협은행·롯데카드 등 3곳의 고객정보 1억건 이상을 빼간 사건이 발생하자 금융당국은 내부 업무망과 외부 인터넷망을 완전히 차단하는 '물리적 망분리' 제도를 법제화했다.

과거 해마다 연쇄적으로 발생한 해킹사고 속에서 외부 바이러스 침투 통로를 완전 봉쇄하는 망분리는 지난 13년간 금융 자산을 보호하는 가장 확실한 방패 역할을 해왔다.

하지만 기술의 발전은 단단하던 방어벽에 균열을 내고 있다. 글로벌 AI 시장의 폭발적인 성장이 새로운 보안 위협으로 자리 잡고 있다. 기존의 아날로그식 방어 체계로는 스스로 진화하는 AI의 공격을 감당할 수 없다는 위기감이 고조되고 있는 것이다.

특히 최근 미토스의 등장으로 AI 보안 위협은 현실화되고 있다. 미토스는 기존 보안 솔루션이 놓친 취약점을 손쉽게 찾아내고, 스스로 해킹을 기획·실행하는 능력까지 갖춰 전 세계에 충격을 안겼다.

실제로 국내에서도 정부가 특정 기업 1곳의 동의를 받아 앤트로픽의 '클로드 오푸스 4.7' 모델을 활용한 다양한 시나리오 공격을 실시한 결과, 7건의 취약점이 발견됐다. 전문 해커가 수작업으로 하면 며칠이 걸리는 작업을 10여 분 만에 찾아냈다.

특히 오는 7월 미국 앤트로픽의 미토스를 활용해 글로벌 주요 금융사들이 참여한 '글리스행 프로젝트'의 보안 취약점 보고서가 발표될 예정이다. 이때 전 세계적으로 엄청난 양의 보안 패치 결과물이 쏟아질 것으로 예상되면서 현장의 우려는 더욱 커진 상태다.

규제 완화 물꼬···안전장치 확보 후 혁신 허용

결국 '미토스 쇼크'는 금융당국의 기조를 통째로 바꿨다. "AI 공격은 고성능 AI로 막아야 한다"며 13년 만에 망분리 규제의 빗장을 풀기로 결정했다.

금융위원회가 이번에 발표한 대책의 핵심은 일정한 보안 역량을 갖춘 금융회사에 한해 고성능 AI와 보안 서비스형 소프트웨어(SaaS)를 활용할 수 있도록 망분리 규제를 한시적으로 완화한다. 나아가 기획형 혁신금융서비스 등 절차를 통해 망분리 규제를 전면 해제한다.

위험으로부터 무조건적인 격리에서 벗어나, 안전장치를 마련한 뒤 혁신을 허용하겠다는 패러다임의 전환이다. 금융사가 스스로 자사의 인프라에 맞는 보안 대책을 세우고 고성능 AI 방패를 구축하도록 자율성을 부여한 것이다.

권대영 금융위 부위원장은 "보안위협을 냉정히 직시하고 발 빠르게 준비해야 하며, 망분리 규제 등 사이버보안 제도 전반의 속도감 있는 변화가 필요하다는 현장의 목소리를 잘 듣고 있다"며 규제 완화의 필요성을 역설했다.

그동안 현장에서는 망분리 규제가 생성형 AI나 클라우드 기반 서비스의 활용을 가로막고 있다는 지적이 많았다.

지난 2024년 혁신금융서비스(샌드박스)를 도입해 생성형 AI 및 SaaS 활용을 확대하기 위해 비중요업무에 한해 망분리 예외를 허용했으나, 현장에서는 여전히 '실질적 제약'이 크다는 평가가 나왔다.

김태훈 금융위 금융안전과장 역시 "지금 같은 망분리 규제 완화 속도로는 급변하는 AX를 금융사가 따라잡을 수 있어 체질개선이 시급한 상황까지 왔다"며 "고도의 보안역량과 AI활용 능력을 갖춘 금융사부터 과감하게 규제를 완화해 가보지 않은 길에서 성공사례를 축적하겠다"고 말했다.

대형사 중심 수혜 기대···디지털·AI 인프라 투자 가속화

13년 만에 규제 완화를 마주한 금융권은 일단 기대하는 분위기다. 지난 2024년 금융당국이 망분리 예외적 허용을 추진하자 금융권에서는 AI를 활용한 금융 혁신에 선제적인 박차를 가하기 시작했다.

특히 그동안 AI 인프라 구축과 정보 보안에 투자를 이어온 대형 금융회사 위주로 수혜가 예상되는 대목이다.

금융감독원 금융통계정보시스템에 따르면 지난해 국내 5대 시중은행(KB국민·신한·하나·우리·NH농협은행)의 소프트웨어·시스템개발비 등 무형자산 투자금액은 1조5936억원을 기록했다.

무형자산이란 개발비, 영업권 등 물리적인 실체는 없지만 장기적으로 경영상 효익을 낼 것으로 기대되는 자산을 뜻한다. 5대 은행의 무형자산은 대부분 전산 서비스에 투입됐다.

역대급 투자 규모를 기록한 2024년(1조6231억원)보다는 소폭 감소했으나, 망분리 예외적 허용 이전인 2023년(8545억원)과 비교하면 빅데이터·AI 등 디지털 전환 전략의 일환으로 1조원 이상의 투자를 이어가고 있는 것으로 풀이된다.

올해도 대규모 투자가 예고된 상태다. 대표적으로 신한금융은 주요 계열사 단위의 AX 본부를 동시 신설한 뒤 AI 가동을 위한 막대한 물리적 인프라 투자를 위해 데이터센터(1250억원), 친환경 에너지(1700억원), 인프라(540억원) 등을 타깃으로 한 총 3500억원 규모의 3대 전략 펀드를 조성했다.

KB금융도 AI·데이터·디지털혁신 부서를 융합한 거대 컨트롤타워인 미래전략부문을 신설하고, 인건비 2557억원을 포함해 최대 3500억원이 투입되는 코어뱅킹 현대화 등 대규모 IT 인프라 사업을 발주했다.

한 금융권 관계자는 "생성형 AI를 결합해 보안은 물론 대고객 서비스 활용 범위도 넓어진다는 점에서 긍정적으로 평가한다"며 "당연히 정부 가이드에 맞춰서 참여 의향이 있다"며 기대감을 드러냈다.

'선제적 리스크 관리' 사활···지주사별 맞춤형 AI 방패 가동

자율성이 커지는 만큼 금융회사들의 책임의 무게도 더욱 무거워졌다. 이번 규제 완화가 디지털 경쟁력을 높이는 계기가 될지, 아니면 새로운 보안 리스크를 키우는 도화선이 될지는 향후 금융권이 구축할 자율 보안 체계의 실효성에 달려 있다.

이찬진 금융감독원장도 "금융회사 스스로 IT 리스크나 보안상 취약점을 조기에 식별해 적시에 조치하는 '선제적 리스크 관리 체계'를 확립하는 데 감독 역량을 집중하겠다"며 "내부통제 미흡에 따른 IT 사고에는 무관용 원칙에 따라 책임을 묻겠다"는 입장을 분명히 했다.

올해는 주요 금융지주 회장들이 일제히 'AI 대전환'을 선언한 만큼 선제적인 대응에 분주한 모습이다. 보안은 IT 부서의 영역이 아니라 금융사의 지배구조, 내부통제, 소비자 보호를 아우르는 필수 요소가 되고 있다.

특히 고성능 AI를 활용해 가상의 공격을 시뮬레이션하고 취약점을 먼저 찾아내는 '화이트 해커형 AI 방패' 도입이 활발하다. 금융감독당국의 강력한 경고 속에서 관리 체계와 예방 대응력을 재점검해 유출사고를 사전에 예방하겠다는 취지다.

KB금융은 올해 1월 금융권 최초로 지주사를 비롯해 11개 계열사의 외부 침해 위협에 대한 공동대응 체계인 '그룹사이버보안센터'를 출범시켰다.

공격자 관점에서 취약점 점검을 수행하는 '레드팀(사이버보안팀)'과 외부 침해위협을 탐지·차단하는 방어전문 조직 '블루팀(그룹 통합보안관제)'을 동시에 운영하며 그룹 전반의 사이버위협을 예방·탐지·대응하는 것이 핵심이다.

KB금융 관계자는 "AI 기술 발전으로 사이버 공격이 자동화·고도화되면서 AI 기반 사이버 위협은 더이상 잠재적 리스크가 아닌 현실적 리스크로 다가오고 있다"며 "선제적으로 구축·운영하고 있는 AI 기반 보안대응 체계를 중심으로 최선을 다할 것"이라고 강조했다.

신한금융도 자체 개발한 AI 진단도구를 활용해 자산 취약점 점검 및 모의해킹을 수행하고 있다. 그룹 공동 보안관제(AI·자동화)를 운영해 24시간 이상행위·침입탐지에 대응하고, 클라우드·모바일 환경까지 감시 범위를 확대했다.

하나금융 역시 365일 24시간 그룹 통합보안관제센터를 통한 외부 침해 위협 실시간 탐지, 분석, 대응을 실시하고 있다. 해외 네트워크가 가장 많은 만큼, 타 금융회사와 달리 일찌감치 보안 시스템을 구축했다.

올 초 국내 금융지주 최초로 이사회 산하에 '소비자보호위원회'를 설치했다는 점도 소비자정보보호 체계의 일환으로 보인다. 특히 초대 위원장으로 IT 보안 및 개발 실무 전문가인 윤심 사외이사가 선임됐다는 점에서, 디지털 금융 확산에 따른 보안 리스크와 시스템 안정성 확보가 사전적 소비자 보호의 핵심이라고 판단한 것으로 풀이된다.

우리금융은 정보 유출을 막기 위해 내부통제에 공을 들이고 있다. 최근 윤리경영실과 윤리·내부통제위원회를 신설하고, 리스크관리위원회 규모를 확대하는 등 조직 체계를 정비했다. 또 금융권 최초로 '임원 친인척 개인(신용)정보 등록제도'를 도입하고, 이상징후 검사시스템(FDS)을 구축하는 등 실질적인 통제 장치도 강화했다.

금융권 관계자는 "결국 자율보안 체계를 얼마나 촘촘하게 구축하느냐가 AI 시대의 새로운 경쟁력이 될 것"이라며 "책임의 무게도 커진 만큼, IT 기술 도입을 넘어 지배구조와 내부통제 시스템 전반을 정비해 자체 방어 능력을 향상시켜야 한다"고 강조했다.