박상원 금융보안원장, AI 보안 강화 '작심'…전담 연구소 '신설' [금융공기업 이슈]

[한국금융신문 지다혜 기자] 박상원 원장이 이끄는 금융보안원이 고성능 인공지능(AI) 확산에 맞춰 금융권 공동 방어체계 강화에 나선다. AI가 금융 서비스와 보안 업무 전반으로 빠르게 확산하는 가운데, 보안 취약점 탐색과 전기통신금융사기 등 AI 악용 위협도 함께 커지고 있어서다.

이번 조직개편은 금융 AI 서비스의 안전성 검증, 중소 금융사 지원, 보이스피싱 정보 분석, 클라우드 보안 평가 등으로 넓어진 AI 보안 수요를 전담체계 안에서 관리하려는 조치다. 금융보안원은 AI 위협 대응과 금융권 지원 기능을 한층 체계화해 빠르게 변화하는 보안 환경에 대응한다는 방침이다.

AI 보안 전담체계 격상

이번 조직개편의 핵심은 원장 직속 '금융AI보안연구소' 신설이다. 기존 AI혁신부가 AI 기술 지원 기능을 맡아왔다면, 새 연구소는 금융권 AI 보안 대응을 총괄하는 조직으로 역할이 넓어진다. 금융보안원은 연구소를 통해 AI 위협 정보를 통합 제공하고, 금융사가 AI 환경에 맞는 보안 체계로 전환할 수 있도록 지원할 계획이다.

'AI보안총괄부'도 새로 꾸려졌다. 이 부서는 AI 위협 대응의 컨트롤타워 성격을 갖는다. 금융권에 영향을 미칠 수 있는 AI 기반 위협을 모니터링하고, 관련 정보를 모아 금융회사에 제공하는 역할을 맡는다. AI 보안 이슈가 기술 부서만의 문제가 아니라 내부통제, 소비자보호, 사고 대응 체계와 맞물리는 사안이 된 만큼 총괄 조직의 필요성이 커진 데 따른 것이다.

기존 AI혁신부는 'AI안전평가부'로 개편됐다. AI안전평가부는 금융 AI 서비스의 안전성과 신뢰성을 평가하고 AI 레드티밍 기능을 확대한다. AI 레드티밍은 공격자 관점에서 AI 모델이나 서비스의 취약점을 점검하는 방식이다. 금융사가 대고객 서비스와 내부 업무에 AI를 적용하기 전 예상 가능한 위험을 검증하는 역할이 중요해질 전망이다.

금융보안원은 최신 AI 기술의 안전성 관련 연구·분석 자료도 제공할 방침이다. AI 기술 변화 속도가 빠른 만큼 금융사가 자체적으로 위협을 모두 추적하기는 쉽지 않다. 연구소가 공동 분석과 정보 제공 기능을 맡으면 대형 금융사뿐 아니라 중소 금융사까지 일정 수준의 대응 체계를 갖추는 데 도움이 될 것으로 보인다.

중소 금융사 대응 지원

'금융AI보안지원센터'도 금융AI보안연구소 산하 AI보안총괄부 내 정식 설치됐다. 지원센터는 지난달 운영을 시작한 조직으로, AI 보안위협 대응에 어려움을 겪는 중소 금융사의 실무 애로를 접수하고 대응요령을 안내하는 창구 역할을 맡고 있다.
중소 금융사는 대형 금융사에 비해 AI·보안 전문인력과 예산이 제한적인 경우가 많다. 그러나 AI 기반 공격은 금융사 규모와 무관하게 발생할 수 있다. 금융보안원이 지원센터를 별도 창구로 마련한 것은 이 같은 대응 격차를 줄이기 위한 조치로 해석된다.

지원센터는 금융보안 레그테크 포털, 이메일, 전용 핫라인 등을 통해 금융사의 문의를 접수한다. 접수된 내용은 전담 직원과 내·외부 전문가 검토를 거쳐 회신된다. 단순 질의응답을 넘어 신규 AI 모델의 사이버보안 성능, 방어 목적의 AI 기술 활용 방안 등 실무에 필요한 기술 상담과 자문도 제공할 예정이다.

필요한 경우 금융보안원이 중소 금융사를 대상으로 AI를 활용한 모의해킹 서비스를 직접 제공하는 방안도 추진된다. 자체 AI 활용 여력이 제한적인 금융사 입장에서는 실제 공격 가능성을 사전에 점검하고 대응 수준을 높일 수 있는 수단이 될 수 있다. 지원센터가 AI보안총괄부 내 정식 조직으로 설치되면서 상담, 자문, 모의점검 기능이 보다 체계적으로 운영될 가능성이 크다.

보이스피싱·클라우드 보안 강화

금융보안원은 AI 기반 보이스피싱 대응 기능도 강화한다. 전기통신금융사기 정보공유·분석 AI 플랫폼인 ASAP 전담 조직을 부서 단위로 격상하고, 참여 대상을 기존 은행권에서 제2금융권으로 확대한다.

ASAP는 전기통신금융사기 관련 정보를 한 곳에 모아 신속하게 공유하고 분석하는 플랫폼이다. 금융사기 수법이 갈수록 지능화·다변화되는 상황에서 정보 공유 속도는 피해 차단의 핵심 요소로 꼽힌다. 금융보안원은 AI를 활용한 보이스피싱 정보 분석 기능을 강화해 금융사들의 예방·대응 역량을 높인다는 계획이다.

클라우드 보안 기능도 연구소 체계에 포함된다. 망분리 규제 완화 흐름 속에서 금융회사의 AI·SaaS 활용이 늘어날 것으로 예상되기 때문이다. 외부 클라우드와 내부 금융 시스템의 접점이 늘면 데이터 보호, 접근통제, 서비스 안정성, 외부 위탁 리스크 관리가 중요해질 수밖에 없다.

이에 따라 '클라우드평가부'는 금융AI보안연구소에 편제돼 금융회사의 안전한 AI·SaaS 활용을 지원한다. 단순히 AI 모델 자체의 안전성만 보는 것이 아니라, AI가 작동하는 클라우드 환경과 SaaS 이용 구조까지 함께 점검하는 방향으로 보안 지원 범위가 넓어지는 셈이다.

AI·보안 전문인력 전진 배치

금융보안원은 연구소 신설에 맞춰 인사도 함께 단행했다. 신임 금융AI보안연구소장에는 김성웅 전 AI혁신부장이 발탁됐다. 김 소장은 1975년생으로 서강대학교 전자계산학 학사와 컴퓨터학 석사를 마쳤으며, 금융결제원과 금융위원회 전자금융과 파견 근무를 거쳤다. 이후 금융보안원 정책연구팀장, 기획조정팀장, AI혁신부장 등을 맡았다.

기존 AI혁신부장을 연구소장으로 배치한 것은 업무 연속성과 실행력을 동시에 고려한 인사로 보인다. AI 전담 조직이 본부급 연구소로 확대되는 과정에서 기존 AI 업무를 이끌어온 인물을 전면에 세워 조직 안착 속도를 높이겠다는 취지다.

신임 부서장에는 AI와 보안 실무 경험을 갖춘 인력이 배치됐다. AI안전평가부장을 맡은 이혁준 전 AI혁신부 AI기술팀장은 AI기술팀장, AI데이터팀장, AI활용지원 태스크포스(TF) 반장 등을 거쳤다. 전문 분야는 AI 레드티밍, AI 개발·활용, 블록체인, 핀테크 보안 평가·상담, 취약점 분석·평가 등이다. 금융 AI 서비스의 안전성 평가를 맡는 조직 특성상 AI 기술과 보안 검증 경험을 모두 갖춘 인선을 택한 셈이다.

ASAP실장에는 유영록 전 기획부 조직예산팀 수석팀장이 선임됐다. 유 실장은 침해위협조사팀, 보안신기술팀, 보안기술연구팀, 교육사업팀 등을 거쳤다. 금융보안관제, 금융보안표준화, 디지털포렌식 분야 전문성을 갖췄고 경찰청 사이버테러대응 전문가 위원, 한국침해사고대응팀협의회 운영위원, 국정원 국가사이버안전센터 민관군합동조사단 파견 경험도 있다.

AI보안총괄부장은 서호진 전 보안연구부장이 맡는다. 서 부장은 금융혁신지원팀, 서명인증평가팀, 전자서명인증평가TF, 정책연구팀 등을 거쳤다. 금융위원회 파견을 통해 망분리 등 금융당국 정책 수립을 지원한 경험도 있다. 망분리 등 금융보안 정책, 전자금융거래법 등 금융보안 규제, AI·디지털자산·양자 등 신기술 보안 전반이 주요 전문 분야다.

클라우드평가부는 유재필 부서장이 연구소 체계 안에서 이끈다. 유 부서장은 클라우드평가부, 총무부, 인사관리팀, 마이데이터팀 등을 거쳤으며 클라우드 보안을 전문 분야로 한다. 망분리 규제 완화 이후 금융권의 AI·SaaS 활용 지원 수요가 커지는 만큼 클라우드 보안 평가 기능의 중요성도 커질 전망이다.

조직 체계도 재편됐다. 금융보안원은 기존 4본부, 10부, 2센터, 3실, 49팀 체계에서 3본부, 1연구소, 11부, 2센터, 4실, 53팀 체계로 전환했다. 기존 본부 중심 구조에 금융AI보안연구소가 별도 축으로 들어서면서 AI 보안 대응 기능이 보다 독립적이고 전문적인 체계를 갖추게 됐다.

박상원 금융보안원장은 "최근 고성능 AI 모델을 활용한 보안 취약점 공격 위협이 증가하는 등 AI 보안 위협이 커지고 있어 관련 정책 지원 및 AI 공격 방어 체계 구축이 중요한 시점"이라며 "이번 AI 전담 조직 확대 및 인사를 통해 AI 보안위협에 한 발 앞서 대응하고 금융권 AI 위협 대응에 대해 빈틈없이 지원할 수 있도록 지속적으로 노력하겠다"고 말했다.

지다혜 한국금융신문 기자 dahyeji@fntimes.com