인공지능(AI) 기술은 금융권을 포함한 다양한 산업에서 빠르게 확산되고 있다. 생성형 AI 기반의 상담 자동화, 이상거래 탐지(FDS), 내부통제 및 리스크 분석 등 활용 영역은 날로 확장되고 있다. 하지만 현장 실무자들은 “AI 기술은 나날이 발전하는데, 금융사 내부 시스템은 여전히 인터넷 접근이 막혀 있다”고 하소연한다.

◇ 급진하는 AI 기술…“레거시 규제, 따라가기 벅찬 수준”

17일, BC카드는 “AI 기반 지능형 자동화 시스템을 통해 카드 발급, 고객 상담, 민원 응대 등 총 135개 업무를 자동화했다”고 밝혔다. 이를 통해 연간 7만 시간 이상의 업무를 절감할 수 있을 것으로 기대된다는 설명이다. 은행권에서도 AI를 업무 및 서비스에 활용하는 추세다. 신한은행은 AI 기술을 내부 업무 자동화에 적극 도입한 사례다. 대표적으로 ‘AI ONE’이라는 이름의 업무비서형 AI 플랫폼을 도입해, 서류 자동 발송, 업무 가이드 제공, 내부 시스템 검색 자동화 등 다양한 기능을 수행하고 있다. 

하나은행은 AI를 고객 맞춤형 금융 서비스에 적극적으로 도입하고 있다. AI를 기반한 정책자금 맞춤 조회 서비스를 통해 정부 지원 자금이나 정책 대출을 받고자 하는 기업 고객들에게 최적화된 상품을 추천한다. 인터넷전문은행인 케이뱅크는 AI를 신용평가 시스템에 활용하고 있다.

특히 기존 신용이력이 부족한 씬파일러를 위해 대안 신용평가 모델(ACSS)을 고도화해 적용하고 있다. 카카오뱅크 역시  이상거래 탐지(FDS)에 AI 기반 머신러닝 알고리즘을 적용해 거래 패턴을 실시간 분석하고, 의심 거래가 발생할 경우 즉각적으로 차단하는 시스템을 운영하고 있다.

그러나 실제 현장에선 당국의 망분리 규제 탓에 AI 기술을 보다 폭 넓게 활용하는 게 제한된다고 호소한다. 금융사가 AI 기술을 실제 업무에 적용하기 위해서는 외부 데이터 접근, 클라우드 서비스 연동, 협업툴 기반 개발환경이 필수적이다. 그러나 대부분의 금융사는 물리적 망분리 원칙에 따라 인터넷망과 업무망을 완전히 분리하고 있다. 이로 인해 개발자는 외부 문서 한 줄, 라이브러리 하나 가져오는 데도 승인을 받아야 한다.

윤석열 전 대통령 정권이 집권한 지난해 8월, 금융위원회는 ‘금융분야 망분리 개선 로드맵’을 발표했다. ‘자율보안–결과책임’ 원칙을 기반으로, 연구·개발(R&D) 목적의 망분리 예외, 가명정보 활용, 클라우드 사용 확대 등을 포함한 정책이다. 이어 같은 해 12월에는 ‘전자금융감독규정’을 개정해, R&D 목적에 한해 가명정보를 인터넷망에서 사용할 수 있는 길도 열었다.

그러나 규정 개선 이후 9개월 동안 이재명 대통령 정부로 정권이 바뀌었고, 전 정부가 약속한 망분리 개선에 대해 현장 체감도는 여전히 낮다. 

금융권 한 관계자는 “공식적으로는 망분리 예외가 허용되지만, 실제로는 예외 승인을 받기까지 최소 3개월 이상 걸린다”고 말했다. 승인을 받더라도, 개발 도구나 서비스가 조금만 바뀌어도 ‘재심사’ 절차를 처음부터 반복해야 한다는 불만도 많다. 이로 인해 일부 프로젝트는 승인 과정만 6개월 가까이 지연된 사례도 있다.

◇ 안그래도 복잡한 망분리 심사…금감원 조직 개편으로 더 꼬이나? 

전자금융감독규정 시행세칙 별표 7을 보면, 망분리 대체 조건으로 시스템 접근 통제, 접근기록 감사, 사용자 인증, 전용망 구성 등 10개 이상의 항목이 포함된다. 이 통제를 모두 충족시키는 문서와 시스템 설계를 제출해야 한다.

더 큰 문제는 심사와 컨설팅 창구가 나뉘어 있다는 점이다. 사전 컨설팅은 금융보안원에서 맡고, 정식 승인은 금융감독원이나 금융위에서 처리한다. 담당자에 따라 요구 기준이 다르고, 문서가 수차례 반려되는 사례도 반복되고 있다.

게다가 최근 금융소비자보호원의 공공기관 지정 및 금융감독원과의 조직 분리 논의가 진행되면서 “창구 혼선” 우려도 커지고 있다. 조직개편기 동안 권한 배분과 내부 이관 작업이 이어지면서, 승인 절차는 더 느려질 가능성이 크다.

망분리는 기본적으로 해킹이나 정보유출 위험을 최소화하기 위한 제도다. 그러나 금융사가 보유한 내부 정보가 방대하고, 개인정보가 포함된 경우가 많아 ‘인터넷 사용은 잠재 위협’으로 간주된다. 본질적으로 보안 사고 발생 시 책임이 해당 금융사에 전가되기 때문에, 실무자들은 예외 적용에 소극적일 수밖에 없다.

황세운 자본시장연구원 선임연구원은 지난해 11월말 ‘금융회사의 망분리 규제 현황 및 개선방향’ 보고서를 발간했다. 황 선임연구원은 “클라우드와 AI의 부상은 현행 망분리 규제와 여러가지 측면에서 충돌하면서 금융회사의 서비스 제공에 새로운 부담요소로 작용하고 있다”며 “금융사가 서비스 개발에 신기술을 더욱 적극적으로 활용할 수 있도록 유도하기 위해 망분리 규제를 합리화할 필요가 있다”고 말했다.

금융위는 현재 다층보안(MLS) 체계와 망세분화·망연계 방식을 도입하는 것을 검토 중이다. 이는 완전 차단이 아닌 ‘업무 목적에 따라 통제된 연결’을 허용하는 모델로, 글로벌 규제 흐름과도 맞닿아 있다. 예컨대, 인터넷망에서만 AI 학습 데이터를 수집하고, 이를 전용망을 통해 내부망에 반영할 수 있도록 허용하는 방식이다.

다만 이를 위해선 인증과 접근통제, 감사기록 등 다층적인 통제 기술이 제도적으로 명문화돼야 한다. 이밖에 ‘가명정보’를 활용하는 방식이 확대되면, 개인정보보호 이슈도 일정 부분 해결 가능하다는 목소리도 있다. 

금융권 한 관계자는 “AI 기술이 하루가 다르게 발전하지만, 규제의 적용은 여전히 수개월 단위”라며 “AI가 실제 업무에 쓰이기까지 걸리는 이 ‘정책 지연’ 문제를 해결하지 못하면, 디지털 혁신의 경쟁력은 더 멀어질 수밖에 없다”고 말헀다.

[스트레이트뉴스 조성진 기자]