금융당국이 금융회사의 인공지능 보안 점검 과정에서 발생한 일부 전산 장애에 대해 제재를 면제하기로 하면서, 금융권의 적극적인 사이버 보안 대응을 유도하는 제도적 장치를 마련했다.
금융위원회는 7월 2일, 지난달 30일 면책심의위원회를 열어 ‘인공지능 보안테스트·보안패치 과정 발생 전산장애에 대한 면책 조치’를 의결했다고 밝혔다. 함께 배포한 ‘프런티어 인공지능 보안 위협 금융 분야 대응 요령’은 최근 고도화된 인공지능 모델 확산에 따라 금융권이 새로운 보안 위협에 더 빠르게 대응할 수 있도록 기준을 제시한 것이다. 보안패치는 해킹이나 시스템 침해에 악용될 수 있는 취약점을 막기 위해 프로그램을 수정·보완하는 작업을 뜻한다.
이번 조치의 핵심은 금융회사가 보안 목적의 인공지능을 활용해 시스템을 시험하거나, 금융위원회·금융감독원·금융보안원이 전파한 취약점에 맞춰 보안패치를 적용하는 과정에서 전산 장애가 발생하더라도 일정 요건을 충족하면 제재 대상에서 제외된다는 점이다. 그동안 금융회사들은 전산 사고에 대한 책임 부담 때문에 새 보안 기술 도입이나 선제적 점검에 신중할 수밖에 없었는데, 당국은 이런 부담을 일부 덜어줘 보안 대응 속도를 높이겠다는 판단을 내린 것으로 보인다.
다만 면책 범위는 제한적이다. 금융위원회는 고의성이 없어야 하고, 금전 피해가 1억원 미만이며, 시스템 장애 시간이 4시간 이하이고, 고객정보 유출 규모가 1만건 미만인 경우 등 ‘경미한 전산 장애’에만 면책을 적용하기로 했다. 또 금융회사는 사전 테스트 계획과 피해 확산 방지 대책을 담은 작업 계획서를 마련해야 하며, 장애 발생 시 신속한 복구와 소비자 보호 조치도 이행해야 한다. 이런 요건을 갖춘 경우에만 기관 제재, 임직원 신분상 제재, 과태료 부과 등을 면할 수 있다. 반면 신용정보법상 개인신용정보 유출 사고는 이번 면책 대상에서 제외됐다. 개인정보 침해는 소비자 피해와 신뢰 훼손이 큰 만큼 별도로 엄격하게 다루겠다는 뜻이다.
금융위원회는 별도 가이드라인을 통해 금융권의 대응 방향도 제시했다. 내용은 경영진 책임 강화, 취약점과 패치 관리, 자산·공급망 관리, 인공지능 기반 방어 자동화, 금융권 공동 대응과 복원력 강화, 침해 확산 방지 체계 등 6개 분야로 구성됐다. 이는 개별 금융회사 차원의 방어를 넘어 협력업체와 외부 시스템을 포함한 공급망 전반의 위험 관리, 사고 이후 서비스 복구 능력까지 함께 끌어올리겠다는 취지로 해석된다. 금융위원회는 앞으로 국내외 인공지능 보안 환경 변화를 반영해 가이드라인을 계속 보완하고, 망분리 규제 전면 해제 등을 포함한 금융권 인공지능 전환도 지원하겠다고 밝혔다. 이 같은 흐름은 앞으로 금융권이 보안 규제를 단순한 통제 수단이 아니라 기술 도입을 뒷받침하는 유연한 장치로 받아들이는 방향으로 이어질 가능성이 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사