'미토스 쇼크'에 금융권 통합 AI 가이드라인 '답보'

앤트로픽 '미토스'가 촉발한 사이버 안보 우려로 국내 금융권 통합 인공지능(AI) 가이드라인 발표가 답보 상태에 놓였다.

4일 금융권에 따르면 금융위원회와 신용정보원이 올해 1분기 중 발표를 목표로 준비해 온 '금융 분야 AI 가이드라인' 발표가 미뤄지고 있다. 새 가이드라인은 기존에 금융당국이 AI 개발·운영·보안 등 영역별로 모범규준을 제시해 왔던 AI 관련 지침을 통합하는 것이다.

당초 지난해 금융위는 올해 1분기 중으로 가이드라인을 마련하고 공표·시행할 계획이었다. 마무리 작업이 지연된 가운데 4월 초 차세대 AI모델 미토스가 전 세계 보안을 흔들면서, 가이드라인 내 보안성 지침에 대한 재검토 및 보완이 필요하다는 여론이 형성됐다.

앞서 미국 AI 기업 앤트로픽은 차세대 보안 특화 AI 모델인 '클로드 미토스 프리뷰'를 공개했다. AI를 기반으로 공격 시나리오 수행까지 가능한 성능이 확인되면서 해킹 등 범죄 악용 우려가 제기되는 상황이다.

미토스는 복잡한 소프트웨어 설계 구조를 추론해 보안 취약점을 스스로 찾아내고 침투 경로까지 스스로 설계할 수 있는 것으로 알려졌다. 단순 해커의 코드 작성을 돕던 보조도구 수준을 넘어 사이버 공격을 직접 이행하는 AI 에이전트로 진화했다는 평가다.

금융 시스템에 공격이 발생할 경우 결제와 송금 등 인프라 자체가 마비될 위험이 크다. 미국·영국·캐나다 등 주요국은 미토스 관련 취약점 노출이 금융시스템에 미칠 영향을 점검하고 대응책 마련에 나섰다.

AI를 활용한 공격에 금융권이 대응체계를 구축할 수 있도록 신속하게 가이드라인을 마련·시행해야 한다는 지적이 제기된다.

우리나라는 지난해부터 롯데카드, SGI서울보증, 보험대리점, 대부업체 등 금융사에서 개인정보 유출사고가 이어지고 있는 만큼 사이버 공격에 대한 민감도가 높아진 상태다. 금융권에 보안이 화두로 떠오르면서 AI를 활용한 공격에 대한 준비 필요성이 강조되고 있다.

실제 금융위는 지난달 금융권을 긴급 소집해 미토스 관련 리스크를 점검하고 대응방안을 논의한 바 있다. 권대영 부위원장 주재로 금융감독원, 금융보안원, 은행·보험 CISO(최고정보보호책임자) 등과 현안 점검 회의를 진행했다.

신용정보원 관계자는 “최근 미토스로 인해 보안에 대한 우려가 제기되면서 가이드라인 발표가 미뤄졌다”고 분위기를 전했다.

한편 AI 통합 가이드라인은 은행·보험사·카드사·캐피탈사·증권사 등 금융사는 물론, 핀테크 등 비금융사에게도 영향을 미친다. AI가 금융서비스 제공에 직·간접적으로 영향을 미칠 경우 가이드라인 적용 범위에 포함된다.

박진혁 기자 spark@etnews.com