최근 등장한 프론티어 AI, 즉 최첨단 AI 모델은 시스템 취약점을 탐지하고 이를 악용하는 코드를 자율적으로 생성할 수 있는 수준에 도달한 것으로 평가받는다. 은행권은 이러한 AI 모델을 활용해 보안 미비점을 발견 및 보완할 수 있지만, 공격자 역시 동일한 도구로 취약점을 탐색하여 이를 악용할 수 있다는 문제가 지적된다.
더구나 공격자가 결함을 발견하여 공격하는 속도는 급격히 빨라졌으나, 방어자의 대응 속도는 이에 미치지 못해 시스템이 무방비 상태로 공격에 노출되는 시간(window of exposure)은 갈수록 확대된다는 문제가 있다. 대표적으로 지난 4월 앤스로픽社가 공개한 차세대 AI 모델 미토스는 고도화된 자율 사이버 공격 능력을 입증하며 AI가 금융 인프라에 직접적 위해를 가할 수 있음을 시사했다.
이와 관련해 전 세계 주요국 당국의 대응책 마련 움직임을 국제금융센터가 정리한 내용을 공유한다.
○ 미국: 미토스 공개 이후 AI 기반 사이버 보안 위험이 부각되면서 재무부, 연준 등은 긴급회의를 소집하고, 은행권의 취약점 대응 시간 확보를 모색
- 지난 4월 베센트 재무장관과 당시 연준 의장이었던 파월은 미국 대형은행의 CEO들을 소집하고 미토스가 초래한 사이버 보안 위험을 경고하면서, 동 모델을 선제적으로 활용해 자체 취약점을 보완하라고 주문
- 연준의 보우먼 금융감독 담당 부의장은 5월 초 미토스가 기업의 보안 취약점을 식별 및 해결하도록 돕지만 악용될 경우 금융권에 위협이 될 수 있다고 경고하며, 당국의 사이버 보안 접근 방식을 개선하겠다는 입장을 표명
- 블룸버그에 따르면 연준 및 통화감독청(OCC)이 대형은행에 미토스가 노출한 취약점을 패치할 시간 확보를 위해 사이버 검사(cyber exam)를 유예했다고 보도(5.19일)했으나, 보우먼 부의장은 6월 청문회에서 이를 부인
- ECB는 유로존 은행들을 소집해 미토스 등 프론티어 AI 모델로 인한 사이버 보안 위협을 경고하고 IT 시스템 취약점 보완 및 패치 가속화를 촉구(5.23일)
- 엘더슨 금융감독 부의장은 유럽 은행권의 미토스 접근 부재가 부실 대응의 변명이 될 수 없다고 강조하는 한편, 접근권을 가진 미국 은행들에게 유럽 은행과의 정보 공유를 요청
- 또한 ECB는 유로존 은행들에 프론티어 AI 모델發 사이버 위험에 대응할 실행 계획(구체적 조치, 자원 배분, 역할·책임, 타임라인 등)을 10.31일까지 제출하도록 지시(7.7일)
- 아울러 취약점 및 패치 관리 가속화, 공격 표면 축소, 레거시 시스템 현대화, 이사회 책임 강화를 통해 EU의 디지털 운영 복원력법을 준수할 것을 주문
- 유럽시스템리스크위원회(ESRB)는 사이버 리스크 등급을 ‘높음(elevated)’에서 ‘심각(severe)’으로 상향하고, 프론티어 AI 모델을 시스템 리스크의 원천으로 규정(7.7일)
- 영란은행·금융감독청(FCA)·재무부는 4월 국가사이버보안센터(NCSC) 및 주요 은행들과 미토스 관련 사이버 위험을 긴급 협의를 진행한 후 공동성명을 발표(5.15일)
- AI의 악의적 사용 시 사이버 위협이 증폭되어 사이버보안 투자가 부족한 기업일수록 위험에 크게 노출된다고 경고하며, △자동화를 활용한 취약점의 신속·상시 식별 △접근 관리(access management)·망 보안·데이터 보호를 통한 공격 표면 축소 △AI 기반 방어 등을 촉구
- 건전성감독청(PRA)의 우즈 청장은 5월 미토스, GPT-5.5 등 AI 모델 악용시 금융권에 상당한 혼란이 예상된다며, 취약점 패치 지연이 시스템 장애의 주된 요인인 만큼 은행들이 패치 속도를 높이고 사이버 보안 위생(cyber hygiene)을 강화해야 한다고 지적
- 영란은행(BoE)의 베일리 총재는 ECB의 실행계획 요구 지시(7.7일)가 합리적이라고 평가하면서도, 은행들에 일률적으로 명령을 내리기보다는 금융권과 취약점을 공유하고 공동 대응하는 유연한 접근을 취하겠다는 입장을 표명(7.7일)
- 홍콩: 6월 금융관리청(HKMA)은 AI 사이버 위험 TF를 구성해 정보 공유를 확대
- 아울러 홍콩은행협회(HKAB)와 공동으로 침해 대응 및 복구 능력을 점검하는 사이버 복원력 테스트 프레임워크를 마련해 `26년 말 일부 기관을 대상으로 초기 테스트를 진행할 예정
- 일본: 5월 금융청(FSA)은 AI發 사이버 위협에 대응하는 민관 합동 실무그룹을 신설
- 동 실무그룹에는 일본은행(BOJ), 대형은행, 앤스로픽 및 오픈AI의 일본 법인 등 36개 기관이 참여해 취약점 식별, 방어 조치 실행, 비상 대응 계획 수립을 추진
- 한국: 6월 금융위원회는 AI 보안패치를 업데이트하는 과정에서 발생한 경미한 전산장애에 대한 제재 면책을 의결하여 은행들의 적극적인 보안 대응을 유도
[평가] 주요국의 AI 사이버 보안 대응은 기존의 규율 체계를 토대로 진행 중이며, AI 환경 특성에 맞춘 감독 체계, 국제 공조 강화 등이 향후 과제로 거론
○ 주요국 당국은 은행시스템 내 AI를 직접 관리·감독하는 규정을 정립하기보다, 기존의 규율 적용을 명확히 하거나 향후 지침 마련을 위해 협력하며 정보 및 동향 공유에 주력
- 구체적 접근 방식은 국가별로 상이. EU와 홍콩은 실행계획 제출, 테스트 등 비교적 규정적인 접근을 취하는 반면, 미국과 영국의 경우 협력, 정보 공유 등에 무게
- 한편, 기존 규율 및 감독 체계는 프론티어 AI 기반 사이버 리스크 대응의 토대가 되나, AI 특유의 환경에 맞춘 조정이 필요
- IMF는 바젤 운영 회복탄력성 원칙 등 현행 프레임워크의 효과성을 인정하면서도, AI가 시스템 약점을 체계적으로 탐색 및 악용하는 환경까지 상정한 것은 아니어서 스트레스 테스트 및 사고 대응 체계를 점진적으로 재조정할 필요성 제기
- 바젤 운영 회복탄력성 원칙 = `21.3월 바젤은행감독위원회(BCBS)가 발표한 원칙으로, 은행이 사이버 공격·시스템 장애 등 심각한 업무 중단 상황에도 핵심 기능을 지속·복구하도록 운영 회복탄력성 향상을 위한 원칙 기반 접근 방식 제시
- 이에 정책당국의 무게중심도 ‘예방 의존 방식(prevention alone)’에서 벗어나 ‘대비(preparedness)· 억제(containment) 및 복구(recovery)’로 이동할 전망(IMF)
- 다만, AI 발전 속도가 규제 학습 및 규칙 제정 주기를 크게 앞질러 지침 업데이트 방식만으로는 대응이 어려운 만큼, 당국은 당분간 규정적 규칙보다 광범위한 원칙 기반 감독을 활용할 것으로 예상(Reuters)
- 아울러 사이버 위협은 국경을 넘나드는 반면, 방어 역량과 프론티어 AI 접근권은 특정 국가와 기업에 집중되어 있는 만큼 국제 공조도 중요
- 다만, AI의 전략자산화 등 폐쇄적 AI 정책이 이를 제약할 수 있음에 유의
