금융사, AI 망분리 클라우드 위탁 추진..우려 ↑

최근 금융당국이 금융사의 외부 생성형 인공지능(AI) 사용 허가와 클라우드 기반 소프트웨어(SaaS) 범위 확대 등을 골자로 한 망분리 규제 개선 방안을 발표했다.

금융위는 금융사의 AI 적극 활용 방안의 일환으로 SaaS 활용을 지원하겠다는 입장이고 일부 대형 금융지주는 ‘AI 거버넌스’를 추진하고 있지만, 업권 전체로는 여전히 잠재적 리스크가 크다는 지적이 있다.

4일 신한금융은 ‘AI 거버넌스’를 구축한다고 밝혔다. KB금융 역시 지난달 말 동대문디자인플라자(DDP)에서 열린 코리아 핀테크 위크 2024 행사장에서 AI 거버넌스 계획을 대중에게 선보였다. AI 거버넌스는 금융회사가 고객과 임직원을 대상으로 한 AI 활용 시 발생할 수 있는 윤리적, 법적, 사회 적 잠재 리스크 요인을 회사가 사전에 식별하고 미연에 방지하기 위한 관리 체계를 말한다. 

주요 금융사가 AI 거버넌스를 본격적으로 구축하는 이유는 지난달 말 금융위원회가 금융사의 AI와 SaaS 활용을 위한 규제 개선 뜻을 밝혔기 때문이다. 신한금융 역시 AI 거버넌스 구축 배경에 대해 “정부의 Al 및 망분리 규제 개선 움직임 때문“이라고 설명했다. 

금융위는 지난달 13일 ‘금융분야 망분리 개선 로드맵’ 발표 후 22일 전 금융권을 대상으로 설명회를 개최했다. 국내 금융사가 AI와 SaaS를 활용한 서비스를 금융소비자에게 제공할 수 있도록 연내 전자금융감독규정을 개정하겠다는 게 핵심 내용이다.

전금법 제21조 2항에는 “금융회사 등이 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치, 소요경비 등의 정보기술부문, 전자금융업무 등에 대해 금융위가 정한 기준을 준수해야 한다”고 명시했다.

관련 세부 전자금융감독규정(제15조 3항)을 보면, 원칙적으로 금융사는 내부통신망과 연결된 내부 업무용시스템은 인터넷 등 외부통신망과 분리하거나 차단시켜야 한다. 2022년 11월에는 소비자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구·개발 목적의 경우를 예외항목으로 두었다. 

이는 금융사가 소비자 인적사항과 금융거래 이력을 회사 바깥에서 자유롭게 다루는 것은 불가능하고 내부망에서만 처리해야 한다는 것을 의미한다. 이 때문에 금융사들이 망분리 제도를 적극 활용해 회사 바깥에서 다양한 업무를 본다는 건 사실상 어려웠다. 

금융규제 당국이 금융사의 AI 활용 확대를 언급하면서 동시에 망분리 규제 완화를 제시한 것도 현재 국내 금융사가 고도화 된 AI 언어를 자체적으로 개발하는 건 불가능에 가깝기 때문이다.

금융업계 한 관계자는 “금융사가 내부망에서만 AI를 활용하려면 사실상 이 기술을 각 금융사가 자체적으로 개발해야 하는데 본업이 AI 서비스가 아니기 때문에 불가능에 가깝다”며 “결국 망분리 규제 개선을 통해 챗 GPT 같은 타사 서비스를 이용할 수 밖에 없다”고 밝혔다.

즉 국내 금융사가 AI를 활용하기 위해선 외부 사업자와의 연계가 필수적이고 이를 위해선 망분리 규제 완화를 통해 또 다른 클라우드 사업자와의 연계가 필요하다는 것을 의미한다. 문제는 금융업 특성상 한번의 사고가 치명적인 리스크로 이어질 수 있다는 것이다.

금융업계 다른 관계자는 “정부의 망분리 규제 완화가 회사 보안의 근본적인 문제를 해결할 수 없으며 클라우드 도입이 곧 기술적 발전을 의미하지 않는다”고 지적했다.

익명을 요청한 금융학계 A 교수는 “일부 금융사들은 망분리 이슈를 피하기 위해 직접 AI와 빅데이터 분석을 고도화 하겠다는 계획이지만 여전히 그 수준은 매우 저급하다”며 “기존의 수동적 데이터를 분석하고 모델링하는 방식에 불과한 것을 ‘빅데이터 분석 엔진’이라는 미사여구로 포장하고 있다"고 비판했다. 

그는 “클라우드 도입이 금융사의 AI 기술을 현격히 발전시킬 수 있을 것이라는 기대는 과장된 측면이 있다”고 지적했다.

A 교수는 “금융사가 자체 시스템을 외부 클라우드 업체에 맡긴다고 해서 보안 문제가 해결되는 것은 아니며 오히려 금융사들이 책임을 회피하는 상황을 초래할 수 있다”며 “과거 카카오가 SK C&C 판교 데이터 센터에 시스템을 맡겼다가 회재가 발생한 사고처럼, 금융사들도 같은 리스크를 겪을 수 있다"고 말했다.

국내 금융사들이 IT역량을 외주에 의존하는 현상을 지적하는 목소리도 있다.

기술금융학계 B 교수는 “국내 금융사의 IT 역량이 대부분 외주화되어 있기 때문에 발전이 정체되어 있다”며 “클라우드 기업이나 통신사들도 세계적인 수준에 도달하지 못한 상황에서 이런 업체들에 시스템을 맡기는 것이 과연 안전한지 의문”이라고 지적했다.

이어 “망분리 규제를 완화하는 것은 보안 문제를 근본적으로 해결하려는 것이 아니라, 단순히 불편함을 해소하려는 시도일 뿐”이라며 “그나마 큰 금융사는 AI 거버넌스를 구축하고 있지만, 전체 업권으로 봤을 때 외부 클라우드 업체에 리스크가 터졌을 때 어떻게 대응해야 하는지에 대한 메뉴얼은 여전히 대비가 부족하다”고 우려를 표했다.

이들은 “금융 시스템의 핵심은 고객의 자산과 데이터를 보호하는 것”이라며 “외부에 의존하는 방식보다는 내부의 역량을 강화하는 방향으로 나아가야 한다”고 입을 모았다.

[스트레이트뉴스 조성진 기자]