망분리 풀고 'AI 에이전트' 길 열렸다···'보안' 부담은 백배

금융당국이 그간 금융권 혁신의 최대 걸림돌로 꼽혔던 내·외부망 분리 규제를 대폭 완화하면서 시중은행들이 단순 '챗봇'을 넘어선 고도화된 'AI 에이전트' 서비스를 출시할 수 있는 길이 열렸다. 다만 망분리 완화에 따른 내부 데이터 유출 리스크와 함께 고성능 인공지능(AI) 보안 위협에 대비한 '긴급 정지 기능' 등이 가이드라인에 포함되면서 금융사들의 보안 시스템 구축과 서비스 운영 부담은 한층 무거워질 전망이다. AI를 활용한 사이버 범죄 위협이 커지는 상황에서 규제 완화의 수혜를 실질적 혁신으로 연결하려면 금융권 스스로 촘촘한 보안 역량을 갖추는 것이 선결 과제로 꼽힌다.

25일 금융권에 따르면 금융위원회는 최근 이 같은 내용을 골자로 한 '금융분야 인공지능(AI) 가이드라인 개정안'을 본격 시행했다. 이번 가이드라인에는 ▲거버넌스 ▲합법성 ▲보조수단성 ▲신뢰성 ▲금융안정성 ▲신의성실 ▲보안성 등 총 7대 원칙이 담겼다.

권대영 금융위 부위원장은 "AI 자율성과 학습 능력에 맞는 규제와 감독체계를 새로 짜야 한다"면서 "책임 있는 혁신을 위한 명확한 기준이 필요하고 AI가 의사결정에 관여해 소비자에게 미치는 영향이 커지는 만큼 책임과 권한을 분명히 해야 한다"고 말했다.

그동안 금융권은 강력한 망분리 원칙에 묶여 외부 클라우드 기반의 고성능 생성형 AI를 선도적으로 도입하는 데 큰 어려움을 겪어왔다. 방대한 데이터를 실시간으로 학습해야 하는 거대언어모델(LLM)과 금융회사의 내부망을 연결하는 것이 원천적으로 차단됐기 때문이다. 이로 인해 금융권 AI 서비스는 고도의 판단을 내리기보다는 단순한 조회나 1차원적 안내를 담당하는 '챗봇' 수준에 머물러 있었다.

하지만 이번 가이드라인에 망분리 완화에 따른 '대체 통제 수단'이 포함되면서 분위기가 반전됐다. 외부 AI 모델을 안전하게 사용할 수 있는 일정한 자체 보안 기준을 준수한다면 외부 인프라를 활용할 수 있는 통로가 열린 것이다. 추후 은행들은 이 가이드라인을 바탕으로 외부 LLM을 적극적으로 융합해 고도화된 여신 심사는 물론, 맞춤형 자산관리 포트폴리오 추천까지 도맡는 진정한 의미의 'AI 에이전트' 시대를 열어갈 발판이 마련됐다는 평가가 나온다.

다만 '무늬만 에이전트'를 경계하는 목소리도 적지 않다. 외부 AI와 연동되는 데이터 품질 개선, 개인신용정보 관련 규제 정비, AI 결정에 대한 책임 소재 명확화 등 추가적인 제도 정비가 선행돼야 실질적인 고도화가 가능하다는 지적이다.

규제 완화의 이면에는 실무적 딜레마도 존재한다. 당국은 이번 가이드라인에 최근 고성능 AI 등장에 따른 보안 위협을 반영해 '긴급 정지 기능' 등 프런티어 AI 대응 방안을 새롭게 포함시켰다. AI가 예기치 못한 환각 현상을 일으키거나 보안 취약점을 노출할 경우 즉각 작동을 멈출 수 있는 장치를 마련하라는 취지다.

문제는 365일 24시간 무중단으로 안정적으로 돌아가야 하는 금융 서비스의 특성상 이러한 긴급 정지가 적지 않은 영업적 부담으로 작용한다는 점이다. 대고객 전면에 나선 고도화된 AI 에이전트가 예고 없이 셧다운될 경우 발생할 수 있는 막대한 소비자 불편과 시스템 혼란의 책임은 결국 은행이 온전히 져야 하는 구조다.

여기에 '대체 통제 수단' 마련도 현실적인 장벽이다. 외부 클라우드와 내부망이 연결될 경우 핵심 고객 데이터의 유출을 막기 위해 은행들은 망간 자료 전송 시스템을 고도화하고 데이터 접근 통제 및 모니터링 시스템을 전면 재구축해야 한다는 의견도 제기된다. 오히려 천문학적인 보안 인프라 구축 비용을 떠안게 될 수 있는 셈이다.

조해현 숭실대학교 교수는 최근 '에이전틱 AI 금융생태계 확장과 보안과제'를 주제로 한 논의에서 "망분리를 일부 완화하면 공격자가 접근할 수 있는 경로도 늘어난다"며 "망분리 완화는 단순히 망을 열어주는 것이 아니라 기존 통제 방식을 더 세밀하게 바꾸는 작업으로 봐야 한다"고 강조했다.

더욱이 망분리 완화로 내부망과 외부 인터넷망의 접점이 넓어지면 사이버 범죄로부터 위협받을 가능성 역시 커진다. 실제로 고도화된 AI 기술을 악용한 금융 범죄도 눈에 띄게 늘어나는 모습이다.

금융위에 따르면 민영 보험사기 적발 규모는 2025년 기준 1조 1571억원 수준으로 매년 증가하고 있으며 적발되지 않은 숨은 보험사기까지 감안할 경우 그 규모는 약 9조원에 달할 것으로 추산된다. 이에 정부는 AI 기반 보험사기 방지 체계 구축을 위한 태스크포스(TF)를 출범시키는 등 'AI를 활용한 범죄는 AI로 대응한다'는 방침 아래 관련 모니터링 플랫폼 고도화에 나선 상태다.

미국, 유럽 등 주요 선진국의 경우 명문화된 규정으로 망분리를 강제하는 대신 가이드라인 형태의 연성 규제를 적용하고 있다. 다만 데이터 유출 등 보안 사고 발생 시 해당 기업 전체 매출의 일정 비율을 과징금으로 부과하는 등 강력하고 치명적인 금전적 제재가 뒤따른다. 즉, 사고에 대한 책임을 온전히 기업에 묻는 구조다. 우리 금융권 역시 자율성이 확대되는 만큼 당국 기준을 뛰어넘는 촘촘한 자체 방어막 구축이 선행될 필요가 있어 보인다.

업계에서는 망분리 완화가 진정한 혁신으로 이어지기 위해 '데이터 공급망 관리'의 중요성을 거듭 강조하고 있다. 선제적으로 마련된 정책적 기반이 실제 금융 현장에서 부작용 없이 작동하려면 외부 AI 모델 활용 시 발생할 수 있는 리스크를 통제할 세밀한 표준이 마련되어야 한다는 지적이다. 새로운 경로가 열린 만큼, 금융사 스스로 선진화된 방어체계를 증명해야 한다는 공감대가 형성되고 있다.

금융권이 '무늬만 에이전트'라는 꼬리표를 떼기 위해서는 AI 범죄 등 리스크를 주도적으로 통제할 수 있는 보안 역량을 자체적으로 입증해야 할 것으로 보인다. 금융권 한 관계자는 "글로벌 주요국처럼 금융사가 자율성을 갖되 결과에 책임을 지는 구조로 가려면 국내 금융사 역시 인프라 투자 외에도 'AI 거버넌스'를 내부 통제 체계에 내재화해야 한다"며 "AI 모델의 허점이나 데이터 오남용을 상시 감시하는 전문 보안 인력 확충이 혁신의 속도보다 중요해질 것으로 보인다"고 언급했다.