<디지털데일리>가 12월 11일(목) 서울 소공동 롯데호텔에서 개최되는 [2026년 전망, 금융IT Innovation] 콘퍼런스를 앞두고 5회에 걸쳐 우리 금융산업의 주요 현안을 짚어보고자 합니다. <편집자>

[디지털데일리 김보민기자] 금융당국이 연이어 발생한 해킹 사고에 강경 대응하겠다는 입장을 재확인하고 있다. 국민 대다수가 이용하는 금융 정보기술(IT) 시스템을 점검할 뿐만 아니라, 보안 사고가 발생한 곳을 제재하겠다는 기존 입장을 재차 강조하며 경고 수위를 높이는 분위기다.

업계 안팎에서는 '보여주기식 보안 투자'만으로 당국 기조에 대응할 수 없을 것이라는 관측이 제기되고 있다. 특히 금융권을 중심으로 자율보안에 따른 책임을 물겠다는 움직임도 빨라지고 있어, 보안 체계를 고도화하려는 수요 또한 증가할 전망이다.

◆ AI 초연결 시대, 보안 공격도 증가…"엄정 제재" 수위 상승

26일 금융 및 보안업계에 따르면, 금융감독원은 전날 4분기 정례 간담회를 통해 보안 예방과 재발방지 대책을 주문했다. 현장에는 증권사 최고정보책임자(CIO), 정보보호최고책임자(CISO), 금융투자협회 등 관계자들이 참여했다.

금감원은 10월 범부처 정보보안종합대책이 공개된 만큼, 이에 따라 엄정 검사와 제재를 이어가겠다고 밝혔다. 아울러 자율점검과 내부 통제를 강화할 것을 독려하면서 전산장애 등 보안 사고가 발생하지 않도록 피해보상과 재발 방지 대책을 마련할 것을 당부했다. 제재 수위를 높이겠다는 기존 기조도 재확인했다.

금융당국은 범부처 종합대책을 통해 금융 IT 시스템 260여개에 대한 대대적인 보안 취약점 점검을 즉시 추진하고, 피해구제 체계를 구축하겠다는 의지를 밝혔다. 개인정보 유출 사고가 발생해 금융회사가 과징금을 낼 경우, 이를 기금 형태로 활용할 방안도 구상하겠다고 밝혔다. 또한 생체인식 등 다중인증과 인공지능(AI) 이상탐지시스템 도입을 장려하겠다는 점도 시사했다.

정보보호 공시 의무 대상도 확대될 가능성이 점쳐진다. 그간 금융사는 중복규제를 이유로 정보보호 공시 의무 대상이 아니었다. 금융위는 10월 브리핑을 통해 "금융회사 중 상장을 완료한 곳이 많지만 소형금융회사는 그렇지 않다"며 "금융권은 대국민 서비스에 보안이 직결된 만큼 전자금융거리법 개정 작업에 공시 대상을 비상장회사까지 포함하는 법안을 발의할 예정"이라고 답했다.

증가한 보안 위협 속 보여주기식 '보안 투자'를 더 이상 용납하지 않겠다는 취지이기도 하다. 금융보안원에 따르면, 현재 금융권에서는 은행·증권·카드 등 금융과 비금융 모두 단일 앱에서 서비스를 제공하는 '슈퍼앱' 경쟁이 치열한 상황이다. 여기에 AI 기술 및 기능을 추가하는 흐름도 빨라지고 있다.

그만큼 위협표면 또한 늘어나고 있다. 금융보안원에 따르면 모바일 단말에 금융정보나 개인신원정보 등이 처리되고 보관되면서, 공격자가 이를 탈취하거나 모바일 단말을 제어하는 악성앱이 기승을 부리고 있다. 원격으로 연락처를 추가하거나 삭제하고, 문자를 발송하거나 전화를 가로채 녹음하는 취약점도 드러나고 있다.

내년에도 유사 공격이 고도화될 전망이라, 당국 요청사항까지 충족해야 하는 금융권 고민은 깊어질 것으로 보인다. 금융보안원은 "내년에는 스스로 결정을 내리고 동작하는 AI 에이전트가 금융권에 본격 도입될 예정이라 관련 위험통제 대책을 마련할 필요성이 제기된다"며 "보이스피싱, 랜섬웨어 대응은 물론 공급망 위험관리와 클라우드 구성 관리도 중요해질 것"이라고 내다봤다.

◆ 자율보안 따른 책임 강화…법·제도 개선 '기폭제'

시장에서는 특히 AI 기술을 도입하려는 금융기관 및 회사가 늘어난 만큼, 관련 법안 신설과 개정이 가속화될 수 있다는 관측이 나온다. 특히 금융권은 자발적인 보안 체계 수립을 장려하는 자율보안체계를 강조하고 있어 이를 반영한 법안 및 가이드라인이 이어질 전망이다.

실제 이억원 금융위원장은 20일 디지털금융안전법 제정을 논의에 착수하겠다는 입장을 보이기도 했다. 이 위원장은 금융보안원 피스콘(FISCON) 2025' 행사에서 "연내 전자금융거래법 개정안 입법이 이뤄질 수 있도록 하고, AI 시대와 초연결 시대 전환에 대응할 수 있도록 금융보안에 특화된 별도 총괄 법제' 디지털금융안전법' 제정 논의에도 즉시 착수할 것"이라고 말했다.

디지털금융안전법에는 금융사 정보보호 투자 비율 기준을 도입하고, 법인보험대리점(GA) 등 사각지대를 편입하는 내용이 담길 전망이다. 또한 보안 투자에 대한 이행을 명시하고 사고에 따른 징계 규정을 강화하는 안이 포함될 것으로 예상된다. 금융업계는 법·제도(컴플라이언스)에 따라 거버넌스를 구축한다는 특징이 있어, 당국 움직임이 실제 투자를 증대하는 기폭제가 될 것으로 보인다.

금감원은 피스콘 행사에서 AI 위험관리 프레임워크 초안을 연내 공개하겠다는 계획도 발표했다. AI 위험관리 프레임워크는 강제성은 없지만 당국 차원에서 도입을 장려할 전망이다. 프레임워크는 거버넌스, 위험평가 및 통제 등 3개 축에 대해 금융회사가 자사 수준을 평가할 수 있는 일종의 AI 위험관리체계(RMF) 역할을 할 예정이다. 당국에 따르면 올해 상반기 기준 금융기관과 회사 중 90%는 AI 위험관리체계를 갖추지 못하고 있다.

국내 보안업계 관계자는 금융권이 AI 도입을 위해 망분리 규제를 완화하고 있다는 점을 주목하며 컴플라이언스 대응이 시급한 과제가 될 것이라고 예측했다. 이 관계자는 "국내 금융권에서는 망분리가 매우 성공한 정책처럼 거론됐지만 이제는 그렇지 않다"며 "단순히 망분리 자찬 만으로 보안 사고를 막을 수 없고, 변명 또한 될 수 없다는 점을 금융기관도 알게 될 것"이라고 말했다.

한편 <디지털데일리>는 12월11일 서울 소공동 롯데호텔 사파이어볼룸에서 [2026년 전망, 금융IT Innovation] 콘퍼런스를 개최한다.

올해 행사는 '디지털 금융 재구축(Re-Architecture)'을 주제로 AI 기반 금융서비스 혁신, 데이터·오픈파이낸스 고도화, 클라우드 및 보안 인프라 혁신, 리스크 관리와 컴플라이언스 강화 등 금융권 핵심 IT 이슈를 종합적으로 조명한다.

박상원 금융보안원 원장 축사를 시작으로 하나은행 'AI 기반 디지털금융 혁신 성과와 비전', 델테크놀로지스 '데이터 회복탄력성으로 랜섬웨어를 이겨내는 전략', 한국IBM '금융IT 실행력과 품질을 재정의하는 AI 기반 자동화' 발표를 만나볼 수 있다.

이어 클라우드플레어 '금융산업의 안전한 디지털 전환', HS효성인포메이션시스템 '금융IT 혁신을 가속화하는 최신 AI 인프라 트렌드 및 사례', 스노우플레이크 '성공적인 금융 AI 도입을 위한 데이터 전략 가이드'가 예정돼 있다.

A트랙 발표에는 한국레드햇, 리미니스트리트, 비아이매트릭스, 인스웨이브, 안랩이 발표한다. B트랙 발표에는 알테어, 토마토시스템, 퀘스트소프트웨어, F5, 멘로시큐리티가 금융권 리스크 관리, 데이터 복제, AI 보안 전략을 공유한다. 행사 말미에는 에퀴닉스, 포시에스, 제네시스코리아, 코헤시티코리아, 카카오뱅크가 무대에 오른다.

사전 등록은 디지털데일리 홈페이지를 통해 가능하며, 얼리버드 등록은 12월1일까지 진행된다. 설문조사와 럭키드로우 이벤트도 진행된다. 자세한 내용은 디지털데일리 홈페이지를 통해 확인할 수 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -