미토스 충격…금융권 보안도 ‘AI 선제 방어’로 전환
금융당국, 프런티어 AI 대응 첫 가이드라인 배포
보안패치하다 장애 나도 면책 … ‘적극 대응’ 유도
프런티어 인공지능(AI) ‘미토스(Mythos)’ 등장으로 AI를 활용한 사이버 공격이 초고속·자동화되면서 금융권 보안 패러다임도 AI 기반 선제 방어 체계로 전환된다. 금융위원회와 금융보안원은 취약점·패치 관리와 AI 기반 방어 자동화 등을 담은 금융권 첫 대응 가이드라인을 마련하고, 금융회사들의 신속한 보안패치를 유도하기 위해 일정 범위의 전산장애에 대해서는 제재를 면제하기로 했다.
금융위와 금보원은 1일 금융회사들의 AI 보안위협 대응을 지원하기 위해 ‘프런티어 AI 보안 위협 금융분야 대응 요령’을 배포했다. 최근 공개된 고성능 AI 모델이 한 달 만에 1만건 이상의 신규 고위험 취약점을 발견하는 등 AI가 사이버 공격 능력을 크게 높이면서 금융권도 새로운 보안체계를 마련할 필요성이 커졌기 때문이다.
가이드라인은 △경영진 책임 강화 △취약점 및 패치 관리 △자산·공급망 관리 △AI 기반 방어 자동화 △금융권 공동 대응 및 시스템 복원력 강화 △침해 확산 방지 등 6개 분야의 대응 원칙을 담았다.
AI 보안 위협을 최고경영자(CEO)와 이사회가 직접 관리해야 하는 핵심 경영 리스크로 규정했다. 정보보호최고책임자(CISO)에게 예산과 인력 운영 권한을 부여하고 네트워크·보안·개발·AI 전문가로 구성된 전담 대응반을 운영하는 방안을 제시했다. 또 패치 지연율과 공격표면지수(외부 노출 자산 중 미인증 접근 가능 포트), 시스템 복구 시간 등을 경영진이 정기적으로 점검하는 운영리스크 평가지표(KRI)로 관리하도록 권고했다.
보안 패치 방식도 달라진다. 패치 관리의 중심을 기존처럼 취약점을 제거하는 데 집중하기보다 공격 성공 가능성을 최대한 낮추는 방향으로 전환해야 한다는 것이다. 취약점의 심각도와 악용 가능성, 핵심 업무 영향도, 넓은 공격 표면 허용 여부 등을 종합적으로 평가해 패치 우선순위를 정하도록 했다.
또 AI를 활용한 자동 방어체계 구축도 핵심 과제로 제시했다. 금융당국은 AI를 활용해 로그 분석과 피싱 탐지, 취약점 우선순위 산정 등을 자동화하도록 했다. 반면 계정 잠금과 트래픽 차단, 시스템 격리, 보안 패치 배포 등 서비스에 영향을 줄 수 있는 조치는 사람의 승인을 거쳐 운영하도록 권고했다. 위험도가 높은 결제·인증 시스템은 AI가 대응 방안을 제시하더라도 최종 결정은 정보보호책임자 등이 내리도록 했다. PC나 서버뿐 아니라 네트워크, 클라우드, 이메일 등 회사 전산망 곳곳에서 수집한 정보를 한꺼번에 분석해 공격 징후를 찾아내는 보안 체계도 강화하도록 했다. AI가 공격 징후를 식별하면 감염 단말을 자동 격리하는 방식의 대응 체계도 제시했다.
금융보안원은 완벽한 방어보다 신속한 복원력 확보도 중요하다고 강조했다. AI 기반 공격은 개별 금융회사 차원의 대응에 한계가 있는 만큼 금융권 공동 위협정보 공유와 공급망 공동 점검, 모의훈련 등을 통해 공동 대응 체계를 강화하고 제로트러스트 기반 접근통제와 다중인증을 확대해 침해 확산을 차단해야 한다고 제안했다.
이와함께 금융위는 지난달 30일 면책심의위원회를 열고 AI 보안 테스트와 긴급 보안패치 과정에서 일정 요건을 충족한 경미한 전산장애에 대해 기관과 임직원 제재 및 과태료를 면제하기로 의결했다. 면책 대상은 보안 목적의 AI를 활용한 취약점 점검과 자동화된 침투 테스트, 금융위·금감원·금보원이 전파한 보안 취약점에 대한 운영체제(OS)·소프트웨어 긴급 패치 및 이에 준하는 전산장비 변경 작업 등이다.
면책은 고의가 없고 금전 피해가 1억원 미만, 시스템 장애가 4시간 이내이며 개인신용정보를 제외한 고객정보 유출이 1만건 미만인 경미한 전산장애를 대상으로 한다. 또 사전 테스트와 복구 수단을 마련하고 홈페이지나 문자메시지를 통한 사전 안내와 소비자 피해 구제 방안까지 이행한 경우 등에 적용된다. 다만 개인신용정보 유출 사고는 면책 대상에서 제외된다.
금융위는 “면책 방안과 가이드라인 배포를 통해 금융업계가 보다 적극적이고 신속하게 전산자원 관리·취약점 탐지·보안 패치 적용 등 관리강화 조치에 나서줄 것을 기대한다”며 “망분리규제 전면해제 등을 포함해 금융권의 AI 대전환을 지원할 다양한 정책과제를 적극적으로 추진해 나갈 예정”이라고 밝혔다.
이경기 기자 cellin@naeil.com