10년 된 금융권 망분리 규제 개선한다…금융사도 생성형AI 활용
SaaS 이용범위 대폭 확대…해외 사업자, 당국 검사에 협조해야
금융위 '망분리 개선 로드맵' 발표…샌드박스 이후 법·체계도 개편
(서울=연합뉴스) 채새롬 기자 = 금융당국이 금융산업의 디지털 혁신을 촉진하기 위해 10년 된 금융권 망분리 규제를 뜯어고친다.
앞으로 금융사도 내부 업무망 PC를 통해 챗GPT 등 생성형 인공지능(AI)을 활용할 수 있고, 클라우드 기반 '서비스형 소프트웨어'(SaaS)도 더욱 많은 업무 범위에서 이용할 수 있다.
금융위원회는 13일 김병환 금융위원장 주재로 김포 KB국민은행 통합 IT센터에서 민간 보안 전문가와 금융협회, 금융감독원, 금융보안원 등 유관기관이 참여한 가운데, 이 같은 내용을 담은 '금융분야 망분리 개선 로드맵'을 발표했다.
김 위원장은 "망분리 의무화는 그동안 금융권의 IT(정보기술) 자산을 보호하는 중요한 역할을 했지만, 이제는 시대적 소임을 다했다"며 "디지털 금융혁신이라는 새로운 시대적 요구에 맞춰 망분리를 과감히 개선하겠다"고 밝혔다.
금융권의 물리적 망분리는 지난 2013년 3월 금융사의 대규모 전산망 마비를 계기로 같은 해 12월 도입됐다.
그러나 규제 도입 이후 10년이 지나면서 금융산업이 '갈라파고스 규제' 때문에 급격히 변화하는 IT 환경에서 경쟁력이 저하하고, 금융보안 발전도 저해된다는 지적이 제기됐다.
소프트웨어 시장이 자체 구축형에서 클라우드 기반의 구독형 SaaS로 빠르게 전환되면서 현행 망분리 규제에서 금융사들이 생성형 AI·보안 관련 소프트웨어 등을 이용하기 어려웠기 때문이다.
금융당국은 이 같은 문제의식에서 규제를 개선하고, 중·장기적으로 금융 보안 법·제도를 전면 개편하기로 했다.
당국은 현행 체계가 오랜 기간 인터넷과 분리된 환경을 전제로 구성된 점을 고려해서 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 규제 애로를 해소하고 별도의 보안대책을 부과할 예정이다.
우선 샌드박스를 통해 금융사의 생성형 AI 활용을 허용한다.
금융사의 내부 정보처리시스템과 외부 AI 모델 간 연결을 위한 망분리 규제특례를 허용하고, 금융사가 이를 활용해 가명처리된 개인신용정보까지 처리할 수 있도록 관련 법령에 대해 관계부처와도 협업을 추진할 예정이다.
다만 이 경우 오픈AI 등 해외 AI 사업자가 국내 금융사에 서비스하기 위해서는 금융사·당국의 검사·감사 등에 협조할 의무를 계약할 때 반영해야 한다.
금융위 관계자는 "현재는 법령에 따른 감독규정이 있는 것은 아니고 유럽연합(EU)의 제3자 규제 사례를 참고해 요구수준을 만든 것"이라며 "제3자 리스크 관리 강화를 위해 해외 선진사례를 분석하고 향후 제3자에 대한 검사·감독 권한 등 법적 근거를 마련하겠다"고 말했다.
SaaS 활용 범위도 대폭 확대된다.
금융위는 지난해 9월 규제샌드박스로 업무망에서의 SaaS 사용을 허용했지만 고객의 개인신용정보는 처리가 불가하고, 보안·개발 등은 제외, 모바일 단말은 금지하는 등 엄격한 부가조건을 걸었다.
당국은 규제샌드박스를 통해 가명처리된 개인신용정보 처리를 허용하고, 프로그램 유형에서도 보안·고객관리·업무자동화 등을 추가로 허용했다. 모바일 단말기도 이용할 수 있도록 했다.
SaaS 이용 역시 샌드박스에 지정되기 위해서는 보안 우려에 따른 보안대책을 마련해야 한다.
전자금융감독규정을 개정해 금융사가 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한도 완화한다.
금융위는 다음 달 중 규제샌드박스 신청을 신청받아 연내 혁신 금융서비스를 지정할 예정이다. 이에 따라 이르면 올해 말부터 금융권에서 생성형 AI 활용이 가능해질 것으로 전망된다.
금융위는 생성형 AI와 SaaS 활용 관련 특례의 성과가 검증되면 내년 말까지 정규 제도화한다.
가명정보 활용을 허용한 1단계 샌드박스의 운영 성과와 안전성이 충분히 검증될 경우 이르면 내년에는 2단계 샌드박스를 추진해 금융사가 가명정보가 아닌 개인신용정보까지 직접 처리할 수 있도록 규제 특례를 고도화할 예정이다.
금융위는 중·장기적으로는 별도의 '디지털 금융보안법'을 제정해 '자율보안-결과 책임' 원칙에 입각한 금융보안체계를 구축할 계획이다.
열거식 행위 규칙 중심의 금융보안 규제를 목표·원칙 중심으로 전환하고, 금융사는 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율적으로 구성하도록 할 방침이다.
전산사고가 발생할 때는 과징금·배상책임 등을 강화하고 중요 보안사항에 대해 최고경영자와 이사회의 내부 책임을 확대한다.
이 같은 내용의 법안은 올해 4분기 마련해 내년 하반기 입법하는 것이 목표다.
금융위 관계자는 "지난달 마이크로소프트(MS) 먹통 사태 당시 망분리 효과로 국내 금융권에 피해가 적었다는 지적이 있었지만 이는 특정 운영 프로그램, 보안 프로그램 이용 문제이지 망분리와는 관련이 없다"며 "이번 망분리 개선 로드맵이 금융산업의 경쟁력 제고와 금융소비자의 효용 증진으로 이어질 것"이라고 기대했다.
김 위원장은 "이번 망분리 개선 로드맵은 금융위원장 취임 이후 과감하게 규제를 개선하는 첫 사례라는 점에서 의미가 깊다"며 "앞으로도 금융산업의 발전을 가로막는 규제가 있는지 세심하게 점검하고 과감하게 개선하겠다"고 말했다.
srchae@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
SaaS 이용범위 대폭 확대…해외 사업자, 당국 검사에 협조해야
금융위 '망분리 개선 로드맵' 발표…샌드박스 이후 법·체계도 개편
(서울=연합뉴스) 채새롬 기자 = 금융당국이 금융산업의 디지털 혁신을 촉진하기 위해 10년 된 금융권 망분리 규제를 뜯어고친다.
앞으로 금융사도 내부 업무망 PC를 통해 챗GPT 등 생성형 인공지능(AI)을 활용할 수 있고, 클라우드 기반 '서비스형 소프트웨어'(SaaS)도 더욱 많은 업무 범위에서 이용할 수 있다.
금융위원회는 13일 김병환 금융위원장 주재로 김포 KB국민은행 통합 IT센터에서 민간 보안 전문가와 금융협회, 금융감독원, 금융보안원 등 유관기관이 참여한 가운데, 이 같은 내용을 담은 '금융분야 망분리 개선 로드맵'을 발표했다.
김 위원장은 "망분리 의무화는 그동안 금융권의 IT(정보기술) 자산을 보호하는 중요한 역할을 했지만, 이제는 시대적 소임을 다했다"며 "디지털 금융혁신이라는 새로운 시대적 요구에 맞춰 망분리를 과감히 개선하겠다"고 밝혔다.
금융권의 물리적 망분리는 지난 2013년 3월 금융사의 대규모 전산망 마비를 계기로 같은 해 12월 도입됐다.
그러나 규제 도입 이후 10년이 지나면서 금융산업이 '갈라파고스 규제' 때문에 급격히 변화하는 IT 환경에서 경쟁력이 저하하고, 금융보안 발전도 저해된다는 지적이 제기됐다.
소프트웨어 시장이 자체 구축형에서 클라우드 기반의 구독형 SaaS로 빠르게 전환되면서 현행 망분리 규제에서 금융사들이 생성형 AI·보안 관련 소프트웨어 등을 이용하기 어려웠기 때문이다.
금융당국은 이 같은 문제의식에서 규제를 개선하고, 중·장기적으로 금융 보안 법·제도를 전면 개편하기로 했다.
당국은 현행 체계가 오랜 기간 인터넷과 분리된 환경을 전제로 구성된 점을 고려해서 신속한 대응이 필요한 과제는 샌드박스 등을 활용해 규제 애로를 해소하고 별도의 보안대책을 부과할 예정이다.
우선 샌드박스를 통해 금융사의 생성형 AI 활용을 허용한다.
금융사의 내부 정보처리시스템과 외부 AI 모델 간 연결을 위한 망분리 규제특례를 허용하고, 금융사가 이를 활용해 가명처리된 개인신용정보까지 처리할 수 있도록 관련 법령에 대해 관계부처와도 협업을 추진할 예정이다.
다만 이 경우 오픈AI 등 해외 AI 사업자가 국내 금융사에 서비스하기 위해서는 금융사·당국의 검사·감사 등에 협조할 의무를 계약할 때 반영해야 한다.
금융위 관계자는 "현재는 법령에 따른 감독규정이 있는 것은 아니고 유럽연합(EU)의 제3자 규제 사례를 참고해 요구수준을 만든 것"이라며 "제3자 리스크 관리 강화를 위해 해외 선진사례를 분석하고 향후 제3자에 대한 검사·감독 권한 등 법적 근거를 마련하겠다"고 말했다.
SaaS 활용 범위도 대폭 확대된다.
금융위는 지난해 9월 규제샌드박스로 업무망에서의 SaaS 사용을 허용했지만 고객의 개인신용정보는 처리가 불가하고, 보안·개발 등은 제외, 모바일 단말은 금지하는 등 엄격한 부가조건을 걸었다.
당국은 규제샌드박스를 통해 가명처리된 개인신용정보 처리를 허용하고, 프로그램 유형에서도 보안·고객관리·업무자동화 등을 추가로 허용했다. 모바일 단말기도 이용할 수 있도록 했다.
SaaS 이용 역시 샌드박스에 지정되기 위해서는 보안 우려에 따른 보안대책을 마련해야 한다.
전자금융감독규정을 개정해 금융사가 연구·개발 결과물을 보다 간편하게 이관할 수 있도록 물리적 제한도 완화한다.
금융위는 다음 달 중 규제샌드박스 신청을 신청받아 연내 혁신 금융서비스를 지정할 예정이다. 이에 따라 이르면 올해 말부터 금융권에서 생성형 AI 활용이 가능해질 것으로 전망된다.
금융위는 생성형 AI와 SaaS 활용 관련 특례의 성과가 검증되면 내년 말까지 정규 제도화한다.
가명정보 활용을 허용한 1단계 샌드박스의 운영 성과와 안전성이 충분히 검증될 경우 이르면 내년에는 2단계 샌드박스를 추진해 금융사가 가명정보가 아닌 개인신용정보까지 직접 처리할 수 있도록 규제 특례를 고도화할 예정이다.
금융위는 중·장기적으로는 별도의 '디지털 금융보안법'을 제정해 '자율보안-결과 책임' 원칙에 입각한 금융보안체계를 구축할 계획이다.
열거식 행위 규칙 중심의 금융보안 규제를 목표·원칙 중심으로 전환하고, 금융사는 자체 리스크 평가를 바탕으로 세부 보안 통제를 자율적으로 구성하도록 할 방침이다.
전산사고가 발생할 때는 과징금·배상책임 등을 강화하고 중요 보안사항에 대해 최고경영자와 이사회의 내부 책임을 확대한다.
이 같은 내용의 법안은 올해 4분기 마련해 내년 하반기 입법하는 것이 목표다.
금융위 관계자는 "지난달 마이크로소프트(MS) 먹통 사태 당시 망분리 효과로 국내 금융권에 피해가 적었다는 지적이 있었지만 이는 특정 운영 프로그램, 보안 프로그램 이용 문제이지 망분리와는 관련이 없다"며 "이번 망분리 개선 로드맵이 금융산업의 경쟁력 제고와 금융소비자의 효용 증진으로 이어질 것"이라고 기대했다.
김 위원장은 "이번 망분리 개선 로드맵은 금융위원장 취임 이후 과감하게 규제를 개선하는 첫 사례라는 점에서 의미가 깊다"며 "앞으로도 금융산업의 발전을 가로막는 규제가 있는지 세심하게 점검하고 과감하게 개선하겠다"고 말했다.
srchae@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
