경영진 책임·패치 우선순위 등 6대 대응요령도 배포

금융당국이 금융회사의 프런티어 AI 보안위협 대응 과정에서 발생하는 경미한 전산장애에 대해 제재를 면책하기로 했다. 전산장애 우려로 보안테스트나 긴급 패치를 미루지 않도록 제도적 부담을 낮추겠다는 취지다.
2일 금융위원회에 따르면 6월30일 면책심의위원회를 열고 AI 보안테스트·보안패치 과정에서 발생하는 전산장애 면책 조치를 심의·의결했다. 금융사의 대응을 지원하기 위한 '프런티어 AI 보안위협 금융분야 대응요령'도 함께 배포했다.
이번 조치는 '미토스' 등 프런티어 AI 보안위협에 금융권이 적극 대응하도록 하기 위한 후속조치다. 프런티어 AI는 현재 가장 높은 수준의 성능과 범용성을 갖춘 AI 모델을 뜻한다. 금융위는 6월 고성능 AI 보안위협 대응 간담회 이후 금융감독원, 금융보안원 등과 면책 범위와 가이드라인을 검토해왔다.
앞으로 금융사가 보안목적 AI로 취약점·포트 스캐닝, 자동화 침투 시도 등 보안테스트를 하거나 금융위·금감원·금보원이 전파한 취약점에 긴급 보안패치를 실행하는 과정에서 경미한 전산장애가 발생해도 요건을 충족하면 제재를 면제받는다. 면책 대상은 보안목적 AI 테스트·긴급 보안패치와 이에 준하는 전산장비 변경이며, 보안목적 AI 테스트는 망분리 규제 완화 테스트 선정기관과 금융보안원의 AI 취약점 점검 대상기관으로 한정된다.
면책 여부는 경미한 전산장애 여부, 신속한 복구 수단, 소비자 보호조치 이행 여부 등을 종합적으로 따진다. 고의성이 없고 금전피해가 1억원 미만이거나 시스템 장애 시간이 4시간 이내, 개인신용정보를 제외한 고객정보 유출이 1만 건 미만인 경우 등이 '경미한 장애'로 인정된다.
금융사는 사전테스트·롤백·킬스위치·서비스 모듈 격리·페일오버 등 피해 확산 방지 방안을 작업계획서에 담아 경영진에 보고해야 하며, 패치 일시·대상·대체 서비스 경로 등을 고객에게 사전 안내하고 피해 구제 방안도 마련해야 한다. 다만 신용정보법상 개인신용정보 유출 사고가 발생하면 이번 면책과 무관하게 관련 제재가 그대로 적용된다.
실무 대응을 위한 6대 가이드라인도 제시됐다. △경영진 책임 강화 △취약점 및 패치 관리 △자산·공급망 관리 △AI 기반 방어 자동화 △금융권 공동대응 및 시스템 복원력 강화 △침해확산 방지 체계 구축이 핵심이다. 이사회와 CEO가 AI 보안위협을 핵심 경영 리스크로 다루고 최고정보보호책임자(CISO)에게 실질적인 예산·인력 운영 권한을 부여하도록 권고했으며, 취약점의 심각도와 악용 가능성, 핵심 업무 영향도 등을 감안해 패치 우선순위를 정하도록 했다.
또한 시스템·API·클라우드·오픈소스·위탁업체 등 전산자원을 통합 관리하고 소프트웨어 구성명세서(SBOM) 작성도 권고됐다. AI 기반 방어 자동화는 저위험 영역엔 자동 격리·IP 차단을, 실시간 결제·이체 등 고위험 영역엔 CISO 최종 승인을 거치도록 했다.
금융위 관계자는 "금융사의 불안감을 낮추고 적극적인 보안강화 조치를 유도하는 데 방점을 뒀다"며 "망분리 규제 전면해제 등을 포함해 금융권 AI 대전환을 지원할 정책과제도 적극 추진할 것"이라고 말했다.



