[이슈인터뷰]"보안 투자가 금융 디지털 경쟁력 좌우…포스트 망분리 시대, 보안 패러다임 전환"

박상원 금융보안원장 인터뷰
망분리 완화·AI 확산 속 보안은 비용 아닌 투자
금융사, IT 예산의 13~14%까지 보안 투자 확대해야

"망분리 규제 완화와 생성형 인공지능(AI) 확산으로 금융권의 보안 패러다임이 근본적으로 바뀌고 있습니다. 앞으로는 보안 투자 수준이 곧 금융의 AI 전환(AX)과 디지털 경쟁력을 좌우하는 핵심 요소가 될 겁니다."

박상원 금융보안원장이 서울 여의도 금융보안원 집무실에서 아시아경제와 인터뷰하고 있다. 2026.6.18 김현민 기자

박상원 금융보안원장은 지난 18일 아시아경제와의 인터뷰에서 "포스트 망분리 시대에는 보안을 비용이 아닌 투자의 관점에서 봐야 한다"며 이같이 밝혔다.

그는 "망분리라는 울타리 안에서는 상대적으로 적은 비용으로도 외부 공격을 차단할 수 있었지만 앞으로는 상황이 달라진다"며 "망분리 규제 완화에 맞춰 국내 금융회사들은 선진국 수준인 IT 예산의 13~14%까지 보안 투자를 확대할 필요가 있다"고 강조했다.

정부는 최근 10여 년간 국내 금융회사의 보안 체계를 지탱해 온 망분리 규제를 단계적으로 완화하고 있다. 보안 목적에 한해 미국 앤트로픽의 '미토스'와 같은 고성능 AI 활용과 보안 관련 서비스형 소프트웨어(SaaS) 활용을 허용하기로 하고, 최근 망분리 규제 완화를 적용할 10개 금융회사를 선정했다. 연말에는 보안·AI 활용 역량이 뛰어난 금융회사에 대해 혁신금융서비스를 통해 망분리 규제 전면 해제도 추진한다. 금융권이 본격적인 '포스트 망분리 시대'에 진입하는 셈이다.

박 원장은 "그동안 금융회사 실무진들은 디지털 혁신 속도가 나지 않으면 망분리 규제를 핑계 삼았지만 이제는 더 이상 그런 말이 통하지 않게 됐다"며 "금융회사가 스스로 판단해 핵심망은 보호하면서도 혁신 분야는 과감하게 열고, 사고가 발생하면 그에 상응하는 책임을 져야 하는 시대가 됐다"고 말했다.

현재 국내 금융권의 보안 투자 비중은 전체 IT 예산의 6~7% 수준에 머물고 있다. 이는 JP모건 등 미국 대형 금융회사와 비교하면 절반 수준에 불과하다. 금융권의 AX를 안정적으로 추진하려면 이에 걸맞은 보안 투자 확대가 필요하다는 것이 박 원장의 설명이다.

그는 AI 확산으로 사이버 공격과 방어의 속도가 동시에 급격히 빨라질 것으로 전망했다. 해커들이 AI를 활용해 과거보다 훨씬 빠르고 광범위하게 취약점을 찾아낼 수 있게 되면서 금융회사 역시 이에 상응하는 대응 체계를 갖춰야 한다는 것이다.

박 원장은 "AI 시대에는 보안 역시 AI로 대응해야 한다"며 "AI 서비스의 설계·개발·운영 전 과정에 보안을 내재화하고 최신 AI 기반 보안 기술을 적극 활용해야 한다"고 강조했다.

특히 보안이 더 이상 IT 부서만의 과제가 아니라고 짚었다. AI와 클라우드 기반 서비스가 확대될수록 보안 수준이 서비스 경쟁력과 직결되는 만큼 최고경영자(CEO)와 이사회가 직접 챙겨야 할 핵심 경영 의제가 됐다는 설명이다.

박 원장은 "지난해부터 전산 장애와 보안 사고가 잇따르면서 CEO들도 보안 투자를 아까워하던 시선에서 벗어나 보안을 챙기기 시작했다"며 "보안 문제가 단순한 시스템 운영 이슈를 넘어 금융소비자의 신뢰와 기업 평판, 경영 성과에 직결되고 있다는 점을 금융권 경영진도 분명하게 인식하고 있다"고 진단했다.

금융보안원은 AI발(發) 보안 위협에 대응하기 위해 원장 직속 조직인 '금융AI보안연구소'를 출범시켰다. 연구소는 AI 기반 위협 분석과 안전성·신뢰성 평가, AI 레드티밍 등을 수행한다. 산하 AI보안지원센터는 중소형 금융회사를 대상으로 맞춤형 컨설팅과 기술 지원을 제공한다. 현재 약 70명 규모인 연구소 인력도 연말까지 100명 수준으로 확대할 계획이다.

아울러 금융보안원은 전 금융권을 대상으로 AI 기반 취약점 점검과 모의해킹 지원에 나설 예정이다. 최근 민간 금융권에서 유일하게 오픈AI의 GPT-5.5 기반 보안 코드 솔루션 사용 권한을 확보한 만큼, 금융회사 소스코드와 시스템 전반의 보안 취약점을 보다 정교하게 분석하고 지원할 계획이다.

박 원장은 "금융회사들이 AI로 내부 소스코드를 점검하면 기존에 발견하지 못한 취약점이 다수 드러날 수 있다"며 "망분리 규제 완화 대상 금융회사에는 소스코드 점검과 취약점 검증·분석을 지원하고, 다른 금융회사에는 AI 모델을 활용한 모의해킹을 실시해 실질적인 보안 수준 향상을 돕겠다"고 말했다.

그는 국내 금융권의 보안 역량이 과거보다 크게 향상됐지만 AI 시대가 요구하는 수준에는 아직 도달하지 못했다고 평가했다.

박 원장은 "앞으로는 자산 식별, 취약점 관리, 위협 탐지와 대응 자동화 등 보다 능동적이고 자율적인 보안 역량 확보가 중요하다"며 "망분리 규제 개선은 끝이 아니라 시작이다. 이제 금융회사의 경쟁력은 AI와 클라우드를 얼마나 안전하게 활용할 수 있느냐에 달려 있다"고 내다봤다.

3년 임기의 반환점을 돈 박 원장은 취임 이후 가장 의미 있는 성과로 보안 위협에 대한 선제적 대응체계를 마련하고 금융권 전반의 안정성을 높이는 데 기여한 점을 꼽았다.

그는 "특히 지난해 SGI서울보증 랜섬웨어 사고 당시 금융보안원 인력이 신속히 투입돼 조기 시스템 복구를 지원했고, 금융보안원의 전문성과 역할을 입증했다"며 "또한 AI와 디지털자산 등 신기술 확산에 따른 새로운 보안 위협에 선제적으로 대응하기 위해 AI 전담 조직을 확대하고 디지털자산 전담 부서를 신설하는 등 금융회사의 안전한 신기술 활용을 적극 지원해 왔다"고 말했다.

남은 임기 동안에는 'AI는 AI로 방어한다'는 원칙 아래 금융권의 AI 대응 역량을 강화하는 데 집중할 방침이다.

박 원장은 "신설한 금융AI보안연구소를 중심으로 금융권의 AI 대응 역량을 강화하겠다"며 "포스트 망분리 시대에 금융회사가 디지털 혁신을 추진하는 과정에서 자율보안 체계를 안정적으로 정착시킬 수 있도록 지원하고, 금융보안원이 디지털금융 안전성을 지키는 중심축이 되겠다"고 강조했다.

권해영 기자 roguehy@asiae.co.kr
이은주 기자 golden@asiae.co.kr