“혁신서비스 신청서 쓰는 게 주 업무가 됐습니다.”
한 시중은행 디지털 담당자의 하소연이다. 그는 마이크로소프트 365(M365)나 슬랙 같은 글로벌 협업 도구를 내부망에서 활용하기 위해 금융당국에 여러 차례 규제 샌드박스를 신청했다고 한다.
문제는 기술이 아니다. 물리적 망분리라는 규제 구조다.
국내 은행은 생성형 인공지능(AI) 도입을 위해 막대한 예산을 투입한다. 하지만 서비스형 소프트웨어(SaaS) 하나를 도입하려 해도 '혁신성'을 입증해야 한다. 2013년 전산망 대란 이후 굳어진 물리적 망분리 원칙은 외부와 물리적 차단을 보안의 핵심으로 삼았다.
이와 달리 클라우드와 생성형 AI는 외부 모델과 연결을 전제로 발전한다. 기술 환경은 바뀌었는데 규제의 전제는 그대로다.
다수 은행이 규제 샌드박스로 SaaS 이용 허가를 받았지만 어디까지나 한시적 예외다. 새로운 AI 모델이나 협업 툴이 나올 때마다 다시 심사받아야 한다. 기술 경쟁력을 끌어올려야 할 골든타임을 규제 대기 시간으로 흘려보내는 일이 반복된다.
반면 한국은행은 최근 다른 접근을 보여줬다. 내부 AI 활용 체계 '보키'를 통해 업무 데이터를 중요도에 따라 분류하고, 데이터 등급에 기반해 접근과 활용을 통제하는 논리적 망분리를 구현했다. 외부 연결을 전면 차단하는 대신 데이터 중심 통제로 보안을 설계한 것이다. 보안을 완화한 것이 아니라 보안의 방식을 전환했다.
다행히 금융당국도 망분리 규제를 원점에서 재검토하고 있다. 다만 해법이 '예외의 확대'에 머물러서는 곤란하다. 금융권이 AI 경쟁력을 확보하려면 물리적 차단 중심의 규제 패러다임을 데이터 등급·접근 통제 기반의 보안 체계로 전환해야 한다.
AI 경쟁은 속도 싸움이다. 건별 허가로는 이를 따라가기 어렵다. 금융당국이 허가자가 아니라 데이터 보안 기준과 구조를 설계하는 '설계자'로 역할을 재정립해야 할 시점이다.
류태웅 기자 bigheroryu@etnews.com
