생성형 인공지능(AI)에 대한 관심이 뜨거운 가운데 금융권에서 이를 활용하기 위해선 망분리 등 규제 완화가 절실하다. 이에 금융당국은 유일무이한 한국의 망분리 규제를 근본적으로 개선해나가겠다는 계획과 함께 금융권의 디지털 전환을 적극 지원한다는 방침이다. 다만 망분리 완화에 따라 외부 연결이 늘어나는 만큼 향후 발생할 민간 금융 보안 사고에 대한 분명한 기준이 필요하다는 제언이 나온다.

14일 금융당국에 따르면 금융위원회는 지난 8월 금융권 디지털 전환의 염원이던 망분리 규제 개선을 위한 청사진을 내고 규제 개선에 힘을 쏟고 있다. 그간 디지털 혁신을 하기 위한 제도적인 기반을 다졌다면 이제는 아날로그적 금융 법제를 디지털 법제에 맞추고 있는 것이다.

망분리 규제는 쉽게 말해 금융회사 내부 전산망에서 인터넷에 접속할 수 없도록 하는 조치다. 과도한 비용·업무 비효율성 등 단점도 있지만 내부 시스템을 보호할 수 있는 가장 효과적인 방법이었다. 하지만 AI 시대가 도래하면서 망분리 규제는 되레 금융 혁신을 저해하고 있다. 전 세계에서 망분리 규제를 의무화하고 있는 곳은 한국이 유일하다. 규정이 명확하지 않아 해석이 분분하고, 금융사들은 소극적으로 대응할 수밖에 없었다.

금융위는 이런 망분리 규제가 혁신을 막고 있다는 점에 공감하고, 근원적인 규제 개선에 나설 것임을 분명히 했다. 먼저 규제 특례를 통해 금융사에 외부 생성형 AI 활용 길을 열어주고, 클라우드 기반 소프트웨어(SaaS) 범위도 확대한다. 총 3단계 법제 개선을 통해 단계적으로 망분리 규제를 완화하되 장기적으로는 망분리 자율화에 도달하겠다는 것이 금융위 목표다. 이르면 올해 말부터 금융권에서 생성형 AI를 활용할 수 있는 길이 열린다.

다만 현실적으로 망분리 규제 완화 개선에 대한 미비점도 존재한다. 예를 들면 금융보안 사고에 대한 책임을 어떻게 질 것인지 사회적 합의가 구체적이지 못하다. 이른바 '제로 트러스트(어떤 프로그램도 안전하다고 믿지 않고, 지속적으로 검증을 요구하는 보안 개념)' 등 망분리 규제를 극복할 수 있는 기준을 잡을 필요가 있다.

권헌영 고려대 정보보호대학원 교수는 "그동안 민간에서 규제를 준수하거나 하지 않았을 때 상황을 금융당국이 관리·감독을 해왔다면 자율보안체계에선 당국이 책임에서 빠지게 된다"면서 "이때 민간 보안 문제에 대한 책임을 어떻게 강화할 것인지, 또는 민간의 자율보안 기술은 대체 가능한지, 국산·외산 구분이 필요한지, 문제 발생 시 관련 검증은 어떻게 할 것인지 등에 대한 준비가 필요하다"고 말했다.