'금융보안의 대전환 : AI 해킹 위협과 금융보안 복원력'망분리 규제 의존 벗어나 자율적 보안 투자 강화해 나가야 박상원 금융보안원 원장이 인공지능(AI) 확산에 따른 금융보안 환경 변화에 대응하기 위해 '포스트 망분리 시대'를 선제적으로 준비해야 한다고 강조했다. 그동안 정부 규제와 망분리 의무에 의존해온 보안 체계에서 벗어나 금융회사 스스로 보안에 투자해 자율적인 보안 체계를 선제적으로 구축해야 한다는 취지다. 박상원 금융보안원 원장이 21일 서울 중구 웨스틴 조선 서울에서 '미래금융 대전환 : 생산적 자본의 시대와 새로운 금융질서'를 주제로 열린 2026 아시아금융포럼(Asian Financial Forum 2026)에서 '금융 보안의 대전환 : AI 해킹 위협과 금융보안 복원력'을 주제로 강연을 하고 있다. 김현민 기자 박 원장은 21일 서울 중구 웨스틴 조선 서울에서 '미래금융 대전환 : 생산적 자본의 시대와 새로운 금융질서'를 주제로 열린 2026 아시아금융포럼(Asian Financial Forum 2026)에서 AI 해킹과 디지털자산 확산 등 급변하는 금융환경 속 기존 규제 중심 보안체계의 한계를 지적하며 이같이 밝혔다. 박 원장은 '금융보안의 대전환 : AI 해킹 위협과 금융보안 복원력'을 주제로 강연하면서 "망 분리 등 규제 중심 보안정책은 지난 10년간 금융권을 보호하는 방패 역할을 해왔지만, 한계에 직면하고 있다"고 진단했다. 그는 디지털 전환(DX)을 넘어 AI 전환(AX)이 본격화되면서 금융보안 체계도 근본적으로 달라져야 한다고 강조했다. 망 분리 규제는 금융회사의 내부 업무망과 외부 인터넷망을 분리해 외부 해킹이나 악성코드가 핵심 금융시스템으로 침투하지 못하도록 한 보안 의무 규제다. 망분리 규제 의존에서 '자율 보안 투자' 체제로 탈바꿈 박 원장은 국내 금융보안이 그동안 정부 주도의 규제와 망 분리 의무에 의존하면서, 자율적인 보안 투자와 선진 보안 체계 구축을 충분히 구축하지 못했다고 짚었다. 2013년 은행권 전산망 마비 사태 등 대규모 사고 이후 금융회사에는 망 분리 의무화 규제가 도입됐다. 이후 클라우드 이용 허용, 재택근무 예외, 연구개발망 허용, 서비스형소프트웨어(SaaS) 등에서 예외를 적용하는 단계적 규제 완화가 이뤄졌지만, 금융회사들은 통상 규제 준수에 머무르며 보안 투자를 소극적으로 해왔다는 것이다. 박 원장은 "금융사들은 그동안 규제에 의존해 보안 체계를 유지해왔지만, 앞으로는 포스트 망 분리 시대에 선제적으로 대비해야 한다"고 말했다. 별도 망에서 제한적으로 AI를 활용하는 지금의 구조만으로는 정교한 금융서비스 개발에 한계가 있을 수밖에 없기 때문이다. 금융당국도 망 분리 규제 완화 절차를 밟고 있다. 박 원장은 "당국은 보안 상태가 양호한 회사들에 대해 점진적으로 규제를 완화해 나가고 있고, 향후에는 역량이 있는 회사들을 대상으로 관련 규제를 폐지하는 단계까지 갈 것으로 보인다"고 내다봤다. 그러면서 "이제는 금융회사가 자사 환경에 맞는 보안체계를 스스로 마련하고 진단·개선하는 선순환 구조를 구축해야 한다"며 금융회사들이 자율적으로 보안 투자를 확대해야 할 시점이라고 강조했다. 박상원 금융보안원 원장이 21일 서울 중구 웨스틴 조선 서울에서 '미래금융 대전환 : 생산적 자본의 시대와 새로운 금융질서'를 주제로 열린 2026 아시아금융포럼(Asian Financial Forum 2026)에서 '금융 보안의 대전환 : AI 해킹 위협과 금융보안 복원력'을 주제로 강연을 하고 있다. 김현민 기자. AX 시대 진화하는 해킹 위협…'제로 트러스트' 내재화 필수 AI와 디지털자산의 확산으로 금융권이 직면한 사이버 위협은 빠르게 고도화되고 있다. 박 원장은 "AI를 활용한 해킹은 취약점 탐색과 침투 속도를 획기적으로 높인다"며 "전문 해커가 아니더라도 생성형 AI 도구를 악용해 손쉽게 공격을 시도할 수 있는 환경이 됐다"고 분석했다. 랜섬웨어와 시스템 마비 공격뿐만 아니라 AI 환각(할루시네이션), 프롬프트 주입 공격, 제3자 리스크 등 기존 서버 중심 보안과는 전혀 다른 차원의 위협이 확대되고 있다는 설명이다. 박 원장은 "AI가 공격 도구로 활용되는 만큼, 방어 전선 역시 AI 보안 솔루션을 능동적으로 활용하는 방향으로 전환해야 한다"며 포스트 망분리 시대의 핵심 과제로 ▲자율보안 체계 전환 ▲설계 단계부터의 보안 내재화(Security by Design) ▲제로 트러스트(내부망도 신뢰하지 않고 매번 검증하는 체계) 기반 내부통제 ▲전사적 보안 문화 확산 ▲제3자 보안 관리 ▲운영복원력 강화 등을 제시했다. 특히 신기술 도입 단계부터 보안이 내재화되어야 함을 언급하며 "모집인, 외주업체 등 외부 접점에서 정보 유출이 발생하더라도 최종 책임은 금융회사에 돌아오는 만큼 공급망 전반의 '제3자 리스크' 관리가 필수적"이라고 지적했다. 사후 원천 차단은 불가능…'운영복원력' 확보가 핵심 아울러 박 원장은 보안 사고를 완벽히 막는 것은 불가능에 가깝다며, 사고 발생 이후 신속하게 서비스를 정상화하는 '운영복원력' 확보에 초점을 맞춰야 한다고 목소리를 높였다. 지능화된 국제 해킹 조직의 공격을 사전에 100% 원천 차단하기에는 명확한 한계가 존재하기 때문이다. 그는 사고가 터지더라도 금융 서비스를 중단 없이 유지할 수 있도록 실효성 있는 백업 체계를 다지고 반복적인 대응 훈련과 즉각적인 신고·통지 시스템을 마련해야 한다고 역설했다. 박 원장은 "고도화되는 위협에 맞서기 위해 금융권과 전문 기관 간 협력 체계를 강화해야 한다"며 "금융보안원이 금융권 사이버 위험 탐지와 대응의 핵심 허브 역할을 충실히 수행하겠다"고 포부를 밝혔다. 이은주 기자 [email protected] Copyright © 아시아경제. 무단전재 및 재배포 금지.