금융당국이 금융회사들의 보안 강화 과정에서 일어나는 가벼운 전산장애에 대해서는 제재를 면제해 주기로 했다. 금융권이 미토스 등 최고 수준의 성능을 갖춘 '프런티어 AI'의 보안 위협에 대응하는 방식을 수비형에서 공격형으로 전환하는 것을 돕기 위해서다.
금융당국은 이러한 조치가 AI를 활용해 시스템 취약점을 스스로 찾아내고 신속하게 방어벽을 보완하도록 능동적으로 움직이는 분위기를 조성하는 데 도움이 될 것으로 기대하고 있다.
금융위원회가 6월30일 AI 보안 테스트 및 보안 패치 과정에서 발생하는 전산장애에 대한 면책 조치를 심의 및 의결했다. ⓒ연합뉴스
금융위원회는 6월30일 면책심의위원회를 열어 AI 보안 테스트 및 보안 패치 과정에서 발생하는 전산장애에 대한 면책 조치를 심의 및 의결했다고 7월2일 밝혔다.
앞으로 금융회사가 보안 목적의 AI를 활용해 취약점을 점검하거나, 금융 당국이 전파한 보안 패치를 실행하다가 전산장애가 발생하더라도 신분상 제재나 과태료 처분을 받지 않는다.
단, 고의성이 없고 금전 피해액이 1억 원 미만이며 시스템 장애 시간이 4시간 이내인 경미한 사고여야 한다. 아울러 피해 확산 방지를 위한 작업계획서를 사전에 준비하고, 고객 안내 및 피해 구제 방안 등 소비자 보호 조치도 마련되어 있어야 면책 요건을 충족한다. 신용정보법에 따른 개인신용정보 유출 사고는 면책 대상에서 제외된다.
금융위원회는 이와 함께 프런티어 AI 보안 위협 대응 요령을 담은 가이드라인도 배포했다. 능력이 검증되지 않은 프런티어 AI의 공격 기법을 사전에 예측하기 어려운 만큼, 실무 현장에서 참고할 수 있는 행동 요령을 제시하기 위해서다.
가이드라인은 경영진 책임 강화, 취약점 및 패치 관리, 자산 및 공급망 관리 등 6개 분야로 구성됐다. 이사회와 최고경영자(CEO)가 정보보호최고책임자(CISO)에게 실질적으로 예산을 편성하고 인력을 운영하는 권한을 부여하고, 직속 대응반을 구성할 것을 권고했다.
또한 취약점 점검 중심이던 보안 관리를 공격 성공 가능성을 낮추는 방향으로 전환하고, 중요도에 따라 패치 우선순위를 체계적으로 관리해야 한다고 명시했다.
AI를 활용한 침투가 내부 시스템으로 빠르게 확산하는 것을 막기 위해 '제로 트러스트' 기반의 보안 체계를 구축하는 것도 핵심 대응 요령으로 꼽혔다. 금융 당국은 향후 금융보안원 금융AI보안연구소와 협력해 위험 정보를 공유하고 공동 탐지 규칙을 마련하는 등 금융권 공동 대응 체계도 구축할 계획을 세웠다.
금융위원회 관계자는 "금융회사의 불안감을 낮추고 적극적으로 보안을 강화하는 조치를 유도하는데 방점을 두고 방안을 마련했다"며 "금융업계가 보다 적극적이고 신속하게 관리강화 조치에 나서줄 것을 기대한다"고 말했다.