[ET톡]AI 시대 금융보안, 망분리부터 바꿔야

대규모 개인정보 유출 사고가 끊이지 않는. 여기에 자율형 AI '미토스'까지 등장하면서 전통적인 보안 체계로는 새로운 위협을 막기 어려운 시대가 됐다. 금융당국도 AI 시대에 맞춰 망분리 규제 완화에 나섰지만 정작 정책 기준은 여전히 과거에 머물러 있다.

보안 업계에는 '시스템은 가장 약한 고리만큼 안전하다'라는 원칙이 있다. 해커는 가장 강한 곳을 공격하지 않는다. 쉽게 침투할 수 있는 곳을 노린다. 금융 보안도 마찬가지다. 일부 초대형 금융사만 방어 체계를 갖춘다고 금융 시스템 전체가 안전해지는 것이 아니다. 금융 생태계 전체의 방어력이 높아져야 비로소 보안이 완성된다.

현재 망분리 완화 기준은 총자산 10조원 이상, 상시 종업원 1000명 이상인 금융사다. 핀테크 업권에서 가장 규모가 큰 네이버페이와 카카오페이, 토스도 이 기준을 충족하지 못한다. 보안 원칙은 '가장 약한 고리'를 보완하는 데 있지만, 정책 기준은 '가장 큰 기업'을 중심으로 설계돼 있다.

AI는 대형 은행과 중소 핀테크를 구분하지 않는다. 오히려 취약한 곳을 먼저 노린다. 특히 마이데이터 사업자와 전자금융업자는 여러 금융회사의 데이터를 연결·유통한다. 이들이 공격받으면 피해는 개별 기업을 넘어 금융권 전체로 번진다. '가장 약한 고리'를 그대로 둔 채 가장 강한 곳만 더 강화하는 정책으로는 금융 생태계를 지키기 어렵다.

물론 모든 핀테크를 망분리 완화 대상에 포함시키자는 뜻은 아니다. 보안 역량이 검증되지 않은 기업까지 일괄적으로 규제를 푸는 것은 또 다른 위험을 초래할 수 있다. 중요한 것은 기업 규모가 아니라 보안 역량과 내부통제 수준이다. AI 환경을 안전하게 감당할 기술적·관리적 체계를 갖췄는지가 규제 완화의 기준이 돼야 한다.

AI는 이미 보안의 패러다임을 바꾸고 있다. 정책도 과거의 잣대에 머물러서는 안 된다. 위험은 낮추고 혁신은 넓히는 방향으로 정책을 고민할 때, 보안과 혁신을 모두 잡을 수 있다.