'금융분야 망분리 개선 로드맵' 발표
가명처리된 개인신용정보 처리부터
SaaS 활용도 제고 샌드박스로 허용
2·3단계로 활용성 확대하고 보안 강화
김병환 금융위원회 위원장이 13일 오후 경기도 김포시 KB국민은행 통합 IT센터에서 금융협회, 금융감독원, 금융보안원 등 유관기관 및 민간 보안 전문가들이 참석한 가운데 금융분야 망분리 개선 로드맵을 발표하고 있다. 금융위원회 제공
[파이낸셜뉴스] 이르면 2025년 상반기부터 금융회사 등의 생성형 AI 활용이 규제 샌드박스를 통해 허용된다. 비중요 업무뿐 아니라 보안관리·고객관리(CRM)까지 클라우드 기반 응용 프로그램(SaaS) 이용 범위가 확대되고 연구·개발 결과물 이관에 따른 제약도 해소될 전망이다.
혁신금융 지정부터...'단계적 망분리' 3·4분기 가동
금융당국 제공
13일 금융당국은 이 같은 내용의 '금융분야 망분리 개선 로드맵'을 발표했다. 금융권 망분리 도입 이후 약 10년이 경과된 시점에서 금융경쟁력 저하 요인으로 꼽히는 낡은 규제를 개선하기 위해서다.
이날 경기도 김포 KB국민은행 통합 IT센터에서 열린 행사에서 김병환 금융위원장은 "디지털 금융혁신이라는 새로운 시대적 요구에 맞춰 망분리를 과감히 개선하고자 한다"며 "충분한 안전장치를 전제로 단계적인 규제 개선을 추진해 나갈 계획"이라고 밝혔다.
우선 1단계로 금융회사가 생성형 AI를 활용해 가명처리된 개인신용정보까지 처리할 수 있도록 규제 특례를 허용할 방침이다. 금융회사 정보처리시스템(내부)과 AI 모델(외부) 간 연결을 위해 망분리 규제 특례를 허용하고 해외 소재 AI를 통한 가명정보 처리를 통해 관련 법령에 대해서도 관계부처 협업을 추진한다.
지난해 9월부터 규제샌드박스로 허용됐던 임직원 업무망에서 SaaS 사용 관련해서도 활용 범위를 대폭 확대하고 이용 절차를 간소화한다. 기존 개인신용정보는 불가했던 데이터 범위를 가명처리된 개인신용정보까지 허용할 수 있도록 넓힌다. 보안, 고객관리, 업무자동화 등 프로그램에 대해서도 활용할 수 있도록 하고 유선 PC뿐 아니라 모바일 단말기도 SaaS를 활용할 수 있도록 했다.
마지막으로 기존 연구·개발망과 내부망간 물리적 분리 등으로 제약이 있던 점도 해소한다. 연구·개발망과 업무망과 논리적 망분리를 허용해 소스코드 등 연구·개발 결과물이 망간 이동할 수 있도록 할 예정이다. 또 가명처리된 개인신용정보 활용을 허용해 고객 행동 특성 등 데이터 분석 기반의 혁신적인 금융상품 개발 환경을 제공할 예정이다.
이에 더해 2단계로는 오는 2025년 말까지 가명정보가 아닌 개인신용정보까지 금융회사가 직접 처리할 수 있도록 규제 특례 고도화를 추진할 계획이다. 활용을 허용한 1단계 샌드박스 운영 성과와 안전성이 충분히 검증된 경우에 한해서다. 다만 데이터 활용 범위가 증가하면서 추가 보안대책도 함께 부과할 예정이다.
"MS 사태 망분리 덕보다는...원칙 중심 보안 규제할 것"
금융당국 제공
이를 통해 금융당국은 금융산업 경쟁력을 제고하고 금융소비자 효익을 증진하는 효과가 있을 것으로 내다본다. 다만 망분리가 금융권 IT 자산 보호에 큰 역할을 해왔던 만큼 단계적 완화에 따른 보안 수준 강화가 중요한 과제다. 최근에도 크라우드스트라이크발 대규모 IT 장애 사태가 발생했을 때에도 국내 금융권은 피해를 다소 피해갔는데 이에 대해 망분리 규제가 '효자 노릇'을 했다는 평가가 나왔다.
다만 이 같은 지적에 전요섭 금융위 디지털금융정책관은 "망분리 여부가 문제가 아니라 MS 운영프로그램 안에서 크라우드스트라이크 보안프로그램을 쓰느냐 안 쓰느냐가 문제였다. 망분리와 직접 연관지을 문제는 아니다"고 평가했다.
이에 금융당국은 선진화를 3단계 추진과제로 꼽았다. '디지털금융보안법'을 제정해 규칙이 아닌 원칙 중심으로 규제를 전환할 예정이다.
중요 보안사항의 CEO·이사회 보고의무 등 금융회사 내부 보안 거버넌스를 강화하고 전산사고 발생시 배상책임 확대 및 실효성 있는 과징금 도입 등 법적 근거 마련을 통해 금융회사 등의 보안 노력을 제고를 유도한다는 계획이다.
이와 함께 금융당국은 금융회사 등의 자율보안체계 수립·이행을 검증해 미흡한 경우 시정요구·이행명령을 부과하고 불이행시 엄중 제재하는 등 금융권 보안 수준 강화를 위해 모니터링도 강화한다. 전 단장은 "금융회사가 보안투자를 게을리하지 않도록 공시케하는 등 보안책임을 요구하겠다"면서 "당국도 지속 점검하고 평가해서 시정 요구를 하고, 여의치 않을 경우 강제 망분리를 시킬 수도 있다"고 전했다.
seung@fnnews.com 이승연 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지