금융당국이 고성능 인공지능(AI) 보안 위협에 대응하기 위해 금융권 망분리 규제 완화에 나섰지만, 정작 금융 데이터 유통의 핵심 축인 '마이데이터 사업자'와 '전자금융업자'는 제도 설계에서 비껴나 있다.
2일 업계에 따르면 최근 미국 앤트로픽의 자율형 인공지능(AI) 모델 '미토스' 등장으로 금융권 보안 체계가 '망 차단'에서 AI 대응으로 전환하고 있다. 내·외부망을 나누는 기존 망분리 방식으로는 스스로 취약점을 찾아 공격 경로까지 설계하는 AI 기술을 막을 수 없다는 판단이다.
이에 따라 금융위원회는 외부 AI 보안 솔루션과 서비스형소프트웨어(SaaS)를 활용할 수 있도록 금융권 망분리 규제 완화를 추진 중이다. 총자산 10조원, 상시 종업원 1000명 이상 등 기준을 충족한 금융사에 한해 단계적으로 망분리 완화를 적용한다.
하지만 금융 데이터가 집중된 핀테크는 망분리 완화 대상에서 제외됐다. 핀테크에서 해킹 사고가 생기면 여러 금융사로 흩어진 개인 자산, 대출, 소비, 투자 정보가 동시에 노출될 우려가 크다.
업계에서는 보안 위협 핵심은 회사 규모가 아니라 데이터 집중도와 해킹으로 인한 파급력에 있다는 지적이 나온다. 대형 금융사가 보안 체계를 고도화하더라도 금융권 데이터를 관리하는 마이데이터 사업자가 해킹에 노출되면 피해는 금융권 전반으로 확산된다.
이미 금융소비자의 실제 이용 행태는 간편결제·송금·대출비교·자산관리 플랫폼으로 이동했다. 일부 핀테크는 월간활성이용자수(MAU)와 가입자 규모에서 은행을 뛰어넘고 있다. 그럼에도 네이버페이, 카카오페이, 토스 등 빅테크 기업조차 금융위 기준을 충족하지 못한다.
핀테크 업계 관계자는 “AI를 활용한 해킹은 더 이상 망분리로 막을 수 없는 단계에 들어섰다”며 “마이데이터 사업자와 전자금융업자는 국민 이용 비중이 높지만 중소형 사업자가 많아 새로운 해킹 기술에 취약하다”고 말했다.
마이데이터 사업자는 은행·카드·보험·증권 정보를 실시간으로 연결, 전송한다. 해킹 사고가 생기면 특정 금융사 고객정보가 유출되는 수준을 넘어 여러 금융회사에 흩어진 금융정보가 동시에 노출될 가능성이 크다.
지난해 5월 말 기준 마이데이터 누적 이용자는 1억6531만명을 넘어섰고, 정보 전송 건수는 1조1430억건에 달했다. 최근 시행된 '마이데이터 기반 금리인하요구 서비스'에는 13개 마이데이터 사업자와 57개 금융회사 등 총 70개사가 참여하고 있다.
업계에서는 특히 중소형 마이데이터 사업자의 영향력이 큰 만큼 별도 기준 마련이 필요하다고 보고 있다. 다른 관계자는 “전자금융거래법에서 정한 보안기준을 갖추고, 물적 분리를 할 수 있는 기술력을 확보한 핀테크 기업은 망분리 완화에 포함시켜야 한다”며 “소비자에 미치는 파장, 보유 데이터 규모, 등을 종합적으로 고려한 기준이 필요하다”고 말했다.
박두호 기자 walnut_park@etnews.com
