본문 바로가기 메인메뉴 바로가기

전자정부이 누리집은 대한민국 공식 전자정부 누리집입니다.

콘텐츠 영역

금융회사가 프런티어 AI 보안위협에 적극적으로 대응할 수 있도록 면책 조치와 가이드라인을 마련하였습니다.

말하기 속도

본문 듣기를 종료하였습니다.

글자크기 설정
목록


금융회사가 프런티어 AI 보안위협에

적극적으로 대응할 수 있도록

면책 조치가이드라인을 마련하였습니다.


 ✓ AI 보안테스트·보안패치시 발생하는 전산장애는 일정범위내 제재 면책


 ✓ AI 보안위협 관련 보안패치 우선순위 등 금융권 가이드라인 마련·배포


  [ 개요 ]


    금융위원회는 '26.6.30(화), 면책심의위원회(위원장 : 김범기 상임위원)개최하여 AI 보안테스트·보안패치 과정에서 발생하는 전산장애에 대한 면책조치를 심의·의결하였다. 아울러, 금융회사들의 AI 보안위협에 효과적으로 대응하기 위한 행동요령을 담은 가이드라인(「프런티어 AI 보안위협 금융분야 대응요령」)도 마련·배포하였다.


   이는 「미토스」 등 프런티어 AI*의 보안위협에 금융권이 적극적으로 대응해 치밀한 보안강화 조치를 취하도록 지원하기 위한 것으로서, 지난 5.22일 개최한 「고성능 AI 보안위협 대응 간담회(주재: 권대영 부위원장)」의 후속조치이다.


    * 프런티어 AI : 현재 가장 높은 수준의 성능과 범용성을 갖춘 AI 모델


   동 간담회 이후 금융위원회는 금융감독원·금융보안원 등 유관기관과 함께 면책범위·내용 및 가이드라인에 필요한 세부항목 등에 대해 금융업계의 의견수렴을 거쳤고, AI·보안 및 법률 전문가로 구성된 「민간기술자문단」의 전문적 조언 등을 청취·반영하여 방안을 확정하였다.

 [➊ 면책조치 주요내용 ]


    그간 금융업계는, 프런티어 AI 위협에 대응해 금융회사들이 적극적 조치를 취하도록 하기 위해서는 이 과정에서 발생하는 경미한 전산장애 등 리스크를 지나치게 두려워하지 않도록 일정한 면책조치가 필요하다는 의견을 지속 제기해 왔다. 특히, ▲보안목적 AI 등을 활용한 공격표면 점검이나 취약점 확인, ▲기 확인된 보안 취약점에 대한 보안패치 등 과정에서 전산시스템 오작동 등 우려가 없지 않으며, 금융회사 임직원들이 이러한 리스크를 지나치게 의식해서는 당면한 프런티어 AI 위협에 대응한 적극적 조치를 신속히 취하는데 한계가 있다는 지적이다.


    앞으로는 금융회사들이 ①보안목적 AI를 활용해 테스트*를 진행하거나, ②금융위·금감원·금보원 등에서 전파하는 보안취약점에 대한 보안패치를 실행하는 과정에서 경미한 전산장애가 발생하더라도, 신속한 복구와 소비자 보호조치가 이루어졌다면 이와 관련한 기관·임직원 신분제재나 과태료 부과 제재조치가 면책된다.


   * '26.5.22일 발표한 보안목적 AI 활용을 위한 망분리 규제 완화 테스트 선정기관과 금융보안원에서 실시하는 AI 취약점 점검(Blackbox 방식) 대상기관 限


    첫째, 면책대상보안목적의 AI를 통해 상시적인 취약점·포트 스캐닝, 자동화된 침투 시도 등 보안테스트를 시행하거나, 금융위·금감원·보원에서 전파하는 보안 취약점에 대해 긴급 보안 패치(OS·SW 등) 또는 이에 준하는 전산장비 변경 등을 포괄한다.


    둘째, 면책요건경미한 전산장애에 대해 신속한 복구 수단소비자 보호 조치 마련·이행 여부 등을 종합적으로 고려할 예정이다.


    경미한 전산장애란 「금융회사의 검사 및 제재에 관한 규정 시행세칙」 [별표3]의 제재대상·기준에 해당하지 않는 IT사고로서, ▲고의성이 없고 금전피해(1억원 미만), ▲시스템 장애 시간(최대 4시간 이내), 고객정보 유출(개인신용정보 제외, 1만건 미만) 등이 일정기준 이내에 해당하는 경우를 의미한다.

    신속한 복구 수단이란 사전테스트, 피해확산 방지서비스 연속성 확보 위한 작업계획서(경영진 보고)마련하여 실시한 경우이다.


     * [예시] 검증환경에서 패치 적용 후 정상 작동 여부 확인, 영향도 분석 등

    ** [예시] 롤백(Rollback), 킬스위치(Kill Switch), 서비스 모듈 격리(Isolation) 등

   *** [예시] 페일오버(Failover), 수동 처리 등 임시 대체 프로세스 등


   ➂ 소비자 보호조치란 대고객 사전 안내 및 피해 구제 방안을 마련하고 이행하는 경우로서, 홈페이지, 문자(SMS) 등을 통해 보안테스트 또는 패치 일시·대상·내용·대체 서비스 경로 등 고객에게 사전에 안내하고 소비자 피해 발생 시 구제조치를 마련·실행한 경우이다.


  셋째, 면책범위는 ▲기관·임직원에 대한 제재·신분제재와 과태료를 포괄한다.

다만, 「신용정보법」에 따른 개인신용정보 유출사고 발생시에는 금번 면책조치와 관계없이 동 법에 따른 제재조치가 그대로 적용된다.


  [➋ 가이드라인 주요내용]


  「미토스」등 프런티어 AI는 그 실체와 능력 범위가 충분히 규명되지 않아 위협의 강도나 예상되는 공격기법을 사전에 가늠하기 어렵다. 아울러 새로운 유형의 보안위협에 대해 구체적으로 어떤 방식으로 대응해야 하는지 명확한 방법이 제시되지 않은 상황이다.


    금융권에서는 보안 현장실무에서 적용할 수 있는 구체적인 행동요령 등을 마련해서 배포해 줄 것을 요청하고 있다. 특히, 국내외 동향을 빠르게 확인하기 어렵고 자체 보안인력·예산·자원이 한정적인 중소형 금융회사들은 빠르게 변화하는 보안위협에 대응해 실무적으로 참고할 구체적 가이드라인이 절실하다는 입장이다.


   이에, 금융위는 금감원·금보원 등 관계기관 협의를 거쳐 금융회사들이 프런티어 AI 보안위협에 보다 적극적으로 대응할 수 있도록 지원하기 위경영진 책임 강화, 취약점 및 패치관리, 자산·공급망 관리,AI 기반 방어 자동화, 금융 공동대응 및 복원력 강화, ⑥침해확산 방지 체계 6개 분야의 대응요령담은 가이드라인을 배포하였다.

   동 가이드라인은 금융회사가 프런티어AI 보안위협에 효과적으로 대응할 수 있도록 기준으로 활용할 행동요령이나 모범사례를 제시하기 위함이며, 이를 준수하지 않더라도 제재 등 불이익이 부과되지 않는다.

  ① 경영진 책임 강화


  금융회사의 이사회와 CEO는 AI 보안위협에 적극 대응할 필요가 있다. 이사회 내 정보보호위원회 등에서 보안위협을 핵심 안건으로 다루고, 종 책임자이사회CEO CISO에게 실질적인 예산 편성권인력 운영의 권한을 부여하는 것이 바람직하다.

   AI 보안 위협 모니터링 및 신속한 대응을 위해 CISO 직속 대응반을 구성·운영할 수 있다. CISO 직속 대응반은 ▲위협 상황 모니터링, ▲취약점 인지·패치·개발 등 조치기간을 단축할 수 있도록 회사 내 다양한 IT직군*으로 구성하는 것이 바람직하다.


   * 보안 담당자를 포함하여 ▲네트워크·시스템 인프라, ▲개발·배포 파이프라인, ▲데이터 엔지니어링 등 IT 全 분야 담당자로 구성하여 운영


② 취약점 및 패치 관리


   국내외에서 AI를 활용한 보안테스트가 활발히 이뤄지면서 취약점 발견이 빠르게 늘어날 수 있는 만큼, 보안 패치 관리의 중심을 취약점 제거에서 공격 성공가능성을 감소시키는 것으로 전환하는 것이 필요하다.

   많은 보안패치 작업을 한정된 시한내 이뤄내야 할 수 있기 때문에 정교하고 세심한 패치 우선순위 설정이 필요하며, 고위험 취약점을 일단위로 관리하거나, 패치가 불가피하게 지연되는 시스템을 적절히 조치(예 : 네트워크 임시격리, 서비스 제한 등)하는 방법도 강구할 필요가 있다.

   패치 우선순위는 각 금융회사 시스템의 특성이 상이한 만큼 일률적으로 제시할 수는 없으나, ▲취약점의 심각도·악용 가능성, ▲금융회사 핵심 비즈니스·자산 영향도,대외 노출도, ▲전금법·신정법·개보법 등 주요 법령 준수 여부 등을 감안해 체계적으로 설정·관리하는 것이 필수적이다.

   나아가, 취약점 점검부터 패치까지 신속하게 이루어질 수 있도록 취약점 점검·보안 패치 업무 체계프로그램 개발·배포 체계를 연계하는 노력도 기울일 필요가 있다.


  ③ 자산·공급망 관리 강화


    AI는 금융회사의 공격 표면을 빠르게 탐색할 수 있으므로, 금융회사는 보유한 전산자원·공급망을 정확히 식별·관리하는 것이 무엇보다 중요하다.

   시스템·애플리케이션·API·클라우드·오픈소스·위탁업체 등 모든 자산을 명확히 파악하고 통합적으로 관리하는 것이 중요하며, 이러한 전산자원을 ▲인터넷 노출여부, ▲업무 중요도, ▲데이터 민감도, ▲패치 상태 등을 기준으로 구분하여 종합적으로 관리해야 유사시 즉시 대응이 가능하다.


   아울러, 자체적으로 활용 중인 오픈소스 SW에 대해서는 SW 구성명세서(SBOM) 작성도 고려할 필요가 있으며, 취약점이 포함된 오픈소스 사용이 차단될 수 있도록 소프트웨어 분석 도구(SCA)도 활용할 수 있다.


  ④ AI 기반 방어 자동화


  AI 기반 공격에 대비해 보안시스템 자동화 체계를 마련할 수 있다. 다만, 이 경우 보안 자동화 과정의 오탐지, 과잉대응, 서비스 장애 가능성에 대비하기 위해 업무 위험도 등을 고려하여 자동화 수준차등화할 필요가 있다.


<※참고> 보안시스템 자동화 시 인적개입 차등화 예시


위험수준

대응 자산 및 시나리오

자동화 조치 수준

인적 개입 여부

저위험

대내 직원 포털,

단순 로그 분석,

피싱 메일 수신 등

완전 자동화

(예시) 악성 이메일 즉시 격리, IP 주소 자동 차단

조치 결과 로그만 모니터링

중위험

일반 웹서버,

내부 정보 자산 권한 상승 시도 탐지 등

조건부 자동화

(예시) 의심 단말의 네트워크 격리

보안관제요원 확인 후 5분 내 미승인 시 자동 격리

고위험

코어 계정계,

실시간 결제·이체,

인증 DB 등

권고 및 대안 제시

(예시) 차단 규칙 추천

보안담당자/CISO 최종 승인차단 실행



  ⑤ 금융권 공동대응 및 시스템 복원력 강화


   프런티어 AI 기반 침해 공격은 기존에 비해 월등히 빈번히·집요하게 이뤄질 것으로 예상되는 바, 사고 발생 가능성 전제로 하여 신속한 사후관리 대책을 수립하는 것이 바람직하다. 공격 IP, 보안위험이 식별된 부분 등에 대한 실시간 격리 체계 마련하고 업무연속성계획(BCP) 차질 없이 이행될 수 있도록 실시간 대응체계를 마련하는 것이 좋다.

   AI로 인한 고도화된 보안 위협에는 개별 금융회사 차원의 대응한계 있으므로, 금융AI보안연구소과 함께 ▲위험정보 공유, ▲공동 탐지룰 마련, ▲공급망 공동 점검 등 공동 대응체계를 마련한다.

  ⑥ 침해확산 방지


   AI 기반 공격은 초기 침투 이후 금융회사 내부 시스템 전체 빠르게 확산될 수 있으므로, 제로트러스트 기반 보안체계 구축에 노력을 기울이는 것이 바람직하다.


   공격자가 항상 내부에 침입했을 수 있다고 가정하여 다중 인증 체계, 최소 권한 부여, 휴면계정 제거, 중요 데이터 접근시 검증 등 접근통제 체계강화하고, 침해 발생 내부 이동을 제한하기 위해 네트워크 세분화 등 시스템 간 격리 체계를 마련해 나갈 필요가 있다.


    동 가이드라인은 1~3차에 걸친 보안목적 AI 테스트 결과 등을 반영하여 지속적으로 업데이트해 나갈 계획이며, 업데이트 내용 등은 금융보안원 홈페이지*에서 확인할 수 있다.


    * 금융보안원 홈페이지(www.fsec.or.kr) : 홈 > 자료마당 > 가이드


    금융위원회는 "프런티어 AI 보안위협 관련 국내외 상황이 빠르게 변하고 있는 만큼, 금융회사의 불안감을 낮추고 적극적인 보안강화 조치를 유도하는데 방점을 두고 금번 방안을 마련하였다."고 설명하면서,

  "금번 면책 방안과 가이드라인 배포를 통해 금융업계가 보다 적극적이고 신속하게 전산자원 관리·취약점 탐지·보안 패치 적용 등 관리강화 조치에 나서줄 것을 기대한다."고 언급하였다.


  아울러, "앞으로도 프런티어 AI 관련 국내외 상황변화, 망분리규제 완화 등을 통한 AI 보안테스트 결과 등을 반영하여 가이드라인 등을 유연하고 신속하게 보완해 나갈 계획"이며, "망분리규제 전면해제 등을 포함금융권의 AI 대전환을 지원할 다양한 정책과제를 적극적으로 추진 나갈 예정"이라고 언급하였다.

“이 자료는 금융위원회의 보도자료를 전재하여 제공함을 알려드립니다.”

공공누리 공공저작물 자유이용허락 1유형 출처표시 '텍스트'에 한하여 공공누리 출처표시의 조건에 따라 자유이용이 가능합니다.

단, 사진, 이미지, 일러스트, 동영상 등의 일부 자료는 문화체육관광부가 저작권 전부를 보유하고 있지 아니하므로, 반드시 해당 저작권자의 허락을 받으셔야 합니다.

정책브리핑 공공누리 담당자 안내 닫기
기사 이용 시에는 출처를 반드시 표기해야 하며, 위반 시
저작권법 제37조
제37조(출처의 명시)
① 이 관에 따라 저작물을 이용하는 자는 그 출처를 명시하여야 한다. 다만, 제26조, 제29조부터 제32조까지,
제34조제35조의2의 경우에는 그러하지 아니하다. <개정 2011. 12. 2.>
② 출처의 명시는 저작물의 이용 상황에 따라 합리적이라고 인정되는 방법으로 하여야 하며, 저작자의 실명
또는 이명이 표시된 저작물인 경우에는 그 실명 또는 이명을 명시하여야 한다.
제138조
제138조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 500만원 이하의 벌금에 처한다. <개정 2011. 12. 2.>
1. 제35조제4항을 위반한 자
2. 제37조(제87조 및 제94조에 따라 준용되는 경우를 포함한다)를 위반하여 출처를 명시하지 아니한 자
3. 제58조제3항(제63조의2, 제88조 및 제96조에 따라 준용되는 경우를 포함한다)을 위반하여 저작재산권자의 표지를 하지 아니한 자
4. 제58조의2제2항(제63조의2, 제88조 및 제96조에 따라 준용되는 경우를 포함한다)을 위반하여 저작자에게 알리지 아니한 자
5. 제105조제1항에 따른 신고를 하지 아니하고 저작권대리중개업을 하거나, 제109조제2항에 따른 영업의 폐쇄명령을 받고 계속 그 영업을 한 자 [제목개정 2011. 12. 2.]
에 따라 처벌될 수 있습니다.
<자료출처=정책브리핑 www.korea.kr>

이전다음기사

다음청년미래적금, 7.2일 13시 기준 누적 가입 신청자 200만명 넘겨

정책브리핑 게시물 운영원칙에 따라 다음과 같은 게시물은 삭제 또는 계정이 차단 될 수 있습니다.

  • 1. 타인의 메일주소, 전화번호, 주민등록번호 등의 개인정보 또는 해당 정보를 게재하는 경우
  • 2. 확인되지 않은 내용으로 타인의 명예를 훼손시키는 경우
  • 3. 공공질서 및 미풍양속에 위반되는 내용을 유포하거나 링크시키는 경우
  • 4. 욕설 및 비속어의 사용 및 특정 인종, 성별, 지역 또는 특정한 정치적 견해를 비하하는 용어를 게시하는 경우
  • 5. 불법복제, 바이러스, 해킹 등을 조장하는 내용인 경우
  • 6. 영리를 목적으로 하는 광고 또는 특정 개인(단체)의 홍보성 글인 경우
  • 7. 타인의 저작물(기사, 사진 등 링크)을 무단으로 게시하여 저작권 침해에 해당하는 글
  • 8. 범죄와 관련있거나 범죄를 유도하는 행위 및 관련 내용을 게시한 경우
  • 9. 공인이나 특정이슈와 관련된 당사자 및 당사자의 주변인, 지인 등을 가장 또는 사칭하여 글을 게시하는 경우
  • 10. 해당 기사나 게시글의 내용과 관련없는 특정 의견, 주장, 정보 등을 게시하는 경우
  • 11. 동일한 제목, 내용의 글 또는 일부분만 변경해서 글을 반복 게재하는 경우
  • 12. 기타 관계법령에 위배된다고 판단되는 경우
  • 13. 수사기관 등의 공식적인 요청이 있는 경우

히단 배너 영역

정책 NOW, MY 맞춤뉴스

정책 NOW

정부정책 사실은 이렇습니다

실시간 인기뉴스 07.02. 14:55 기준

  1. 제조업 AI 대전환부터 손쉬운 면세품 교환까지…하반기 일상 변화 순위동일
  2. 프리랜서도 신청할 수 있을까? 화제의 '청년미래적금' 직접 신청 순위동일
  3. 영화 할인권부터 단기 육아휴직까지…하반기 달라지는 제도 순위동일
  4. '모세의 기적'을 하늘에서 바라보다 단계상승 2
  5. 영상 퀴즈 내시면서 처음으로 대본 보신 정일영쌤 NEW
  6. 일하는 부모부터 제도 밖 이웃까지…더 촘촘해지는 사회안전망 NEW

인기, 최신, 오늘의 영상 , 오늘의 사진

오늘의 멀티미디어

정책포커스