금융권 AI 전환, 데이터화·망분리가 병목…통제 체계 과제 부상 [넥스트라이즈 2026]

[한국금융신문 지다혜 기자] 금융권의 인공지능(AI) 전환 논의가 단순한 도입 경쟁을 넘어 데이터화와 망분리, 보안통제 체계 재정비 문제로 확장되고 있다. 생성형 AI와 AI 에이전트가 문서 분석, 업무 자동화, 고객 서비스, 이상거래 탐지 등 금융 업무 전반에 활용될 수 있다는 기대가 커지고 있지만, 내부 자료를 AI가 활용할 수 있는 형태로 정비하고 권한·접근·결과물을 통제하는 체계가 함께 마련돼야 한다는 지적이다.

19일 서울 삼성동 코엑스에서 열린 한국산업은행 주최 '넥스트라이즈 2026'에서는 '금융과 AI'를 주제로 한 세션이 진행됐다. 이날 세션에는 한국증권금융, 올거나이즈, 고려대학교, 금융위원회, 베인앤드컴퍼니코리아 관계자들이 참여해 금융권 AI 도입 사례와 내재화 전략, 보안·리스크 관리 쟁점을 논의했다.

참석자들은 금융권이 AI 전환에 속도를 내고 있지만 기존 외부망 차단 중심의 보안 체계만으로는 AI 확산을 감당하기 어렵다고 봤다. 금융업 특성상 고객 정보와 자산 정보, 내부 업무 자료가 AI 활용 과정에 투입될 수밖에 없는 만큼 데이터가 어디로 이동하고, 누가 어떤 권한으로 AI를 활용하며, 결과물이 어떤 업무 판단으로 이어지는지 관리하는 체계가 필요하다는 설명이다.

내부망 AI 플랫폼으로 업무 내재화

한국증권금융은 금융권 AI 도입 과정에서 경영진 의지와 외부 협력, 내부 확산이 중요하다고 강조했다. 유두연 한국증권금융 부장은 "빠르게 변하는 디지털 환경, 특히 AI 환경에 적극적으로 대응하겠다는 경영진의 강력한 의지가 가장 중요하다"며 "이를 바탕으로 조직과 인력을 세팅하고 미래전략 추진 조직을 구성했다"고 설명했다.

한국증권금융은 금융권 후발 주자 입장에서 AI를 빠르게 도입하기 위한 전략을 마련해 왔다. 자체 역량만으로 모든 과제를 해결하기보다 스타트업과 협력해 실제 업무 문제를 풀어가는 방식이다. 유 부장은 "AI나 디지털 역량이 부족할 수밖에 없는 회사에서는 외부 파트너와의 협업이 매우 중요하다"며 "기술적으로 뛰어난 스타트업과 실질적인 비즈니스를 수행하는 것을 목표로 신기술 공모전을 진행했다"고 말했다.

한국증권금융은 공모전을 통해 내부 업무 과제를 공개하고 스타트업이 보유한 기술로 해결 방안을 제안하도록 했다. 선정 기업에는 시범사업과 본사업을 추진할 수 있는 사업 우선권을 제공해 실제 사업으로 연결하는 구조를 만들었다.

향후에는 내부망 기반 자체 AI 플랫폼 구축도 추진한다. 유 부장은 "내부망 내 자체 AI 플랫폼을 올거나이즈와 함께 구축하고 있다"며 "하반기에는 금융당국이 망분리 예외 형태로 허용하는 연구·개발망을 활용해 외부 최신 AI 에이전트를 내부 개발용으로 쓰는 방안도 추진하고 있다"고 밝혔다.

이원강 올거나이즈 부대표는 금융권이 AI 도입에 유리한 조건과 어려운 조건을 동시에 갖고 있다고 봤다. 이 부대표는 "금융권은 많은 문서를 보유하고 있어 대규모 언어모델(LLM)을 활용한 업무 효율화 잠재력이 크다"며 "다만 개인정보와 자산을 관리하는 업권인 만큼 어떤 경우에도 보안이 가장 중요하다"고 말했다.
그는 "한국의 경우 대부분 업무용 LLM 플랫폼을 서비스형 소프트웨어(SaaS)보다 온프레미스 환경에 구축하고, 에어갭을 둔 상태에서 설치한다"며 "과거에는 LLM을 깔아달라는 수준이었다면 이제는 어떤 업무를 어떻게 효율화할지, LLM이 어디까지 처리하고 어디서 심사를 받을지 등 요구 사항이 구체화되고 있다"고 설명했다.

데이터화·망분리, AI 확산 병목

금융권 AI 확산을 가로막는 현실적 병목으로는 내부 데이터화와 망분리 규제가 꼽혔다. 김태완 한국증권금융 상무는 "금융권이 AI에 관심이 많을 수밖에 없는 것은 소비자 편익 증가와 내부 비용 효율화에 대한 기대가 크기 때문"이라면서도 "금융은 숫자로 표현되는 산업임에도 내부 데이터화는 생각보다 잘돼 있지 않다"고 말했다.

문서와 정보가 회사 안에 존재하더라도 AI가 곧바로 활용할 수 있는 형태로 정비돼 있지 않다는 의미다. 김 상무는 "정보를 AI와 접목하려면 문서를 AI가 이해할 수 있는 데이터로 바꿔야 한다"며 "비대면 여·수신처럼 프로세스가 온라인화된 업무도 있지만 상당수 업무는 중간중간 사람의 손을 타기 때문에 이 과정을 데이터화해야 AI와 접목할 수 있다"고 설명했다.

개인 PC나 부서별 저장 공간에 흩어진 문서, 대면 업무 과정에서 발생하는 수기 절차, 종이 기반 자료 등도 선결 과제로 언급됐다. 김 상무는 "예전에는 개인이 각자 갖고 있던 정보 자산이 퇴직과 함께 사장되는 경우가 있었다"며 "개인 PC가 아니라 중앙에 문서를 모으고, 그 문서가 AI에 들어갈 수 있도록 바꿔야 한다"고 말했다.

망분리도 금융권 AI 전환의 주요 변수다. 외부망 AI를 활용하면 내부 자료를 연동하기 어렵고, 내부망에 온프레미스 AI를 구축하면 외부 검색 기능이나 최신 모델 활용에 제약이 생긴다. 김 상무는 "외부망 AI를 쓰고 있지만 내부 자료를 쓸 수는 없고, 내부망 온프레미스 AI를 구축하면 외부망이 차단돼 검색 기능이 없게 된다"고 지적했다.

AI 인력 확보 문제도 제기됐다. 김 상무는 "금융 분야는 다른 어떤 분야보다 보안이 중요하다"며 "우수한 정보통신기술(ICT) 인력이 금융권에 오는 것을 꺼리고 금융권은 아웃소싱과 솔루션 의존도가 커지는 구조가 됐다"고 말했다. 금융권 AI 전환이 단순 외부 솔루션 도입을 넘어 내부 데이터 정비와 전문인력 확보, 외부 협력 체계 구축을 함께 요구한다는 의미다.

AI 전환, 성과관리 단계로 이동

금융권 AI 전환이 본격화되면서 도입 성과를 어떻게 측정할 것인지도 과제로 떠올랐다. 신우석 베인앤드컴퍼니코리아 파트너는 "지난해까지는 PoC나 파일럿을 통해 AI를 어떻게 활용할 수 있을지 탐색하는 기간이었다면, 올해부터는 본격적인 AI 트랜스포메이션을 추진하는 원년"이라고 말했다.

AI 적용 범위도 넓어지고 있다. 기존에는 개별 직원의 특정 업무에 AI를 적용해 효과를 확인하는 방식이었다면, 최근에는 마케팅, 보상 처리, 고객 대응 등 기능 단위나 사업 영역 전체를 AI 기반으로 재설계하는 흐름이 강해지고 있다는 설명이다.

신 파트너는 "작년까지는 CTO나 CIO 등 기술 조직이 AI 도입을 주도했다면 올해는 대부분 회사에서 CEO의 핵심 어젠다로 자리 잡고 있다"고 말했다. 이어 "이제는 AI를 도입했는지, 몇 개를 도입했는지가 아니라 그것이 경영 성과와 사업 경쟁력에 의미 있는 기여를 하고 있는지가 중요해지고 있다"며 "AX의 ROI를 측정하고 평가하려는 흐름이 확산되고 있다"고 말했다.

금융위도 금융권 AI 전환을 위한 제도 개선 필요성을 언급했다. 정선인 금융위원회 디지털금융총괄과장은 "AI를 먼저 받아들인 회사는 그렇지 않은 회사보다 비용과 서비스 측면에서 앞서갈 것"이라며 "그 혜택은 국민과 기업에게 돌아갈 것"이라고 말했다.

정 과장은 AI 기반 대안신용평가가 금융 이력이 부족한 소비자에게 금융 접근성을 넓히고, AI 자산관리 서비스가 개인 맞춤형 금융 서비스를 확대할 수 있다고 봤다. 보이스피싱과 불법 사금융 징후 탐지 등 금융범죄 예방에도 AI가 활용될 수 있다는 설명이다.

정 과장은 "머지않아 우리가 알던 금융 서비스는 근본부터 달라질 수 있다"며 "책임 있는 변화를 위한 명확한 기준이 필요하다"고 말했다. 이어 "망분리 완화와 데이터의 안전한 활용을 위한 제도 개선을 꾸준히 준비하고 있다"며 "금융회사들이 책임 있게 AI를 활용할 수 있도록 금융 분야 AI 가이드라인 개정 작업과 새로운 감독 체계 마련도 고민하고 있다"고 밝혔다.

AI 보안 고도화, 권한관리 과제

AI 확산에 따른 보안 리스크도 이날 세션의 핵심 쟁점이었다. 이상근 고려대 정보보호대학원 부교수 겸 인공지능보안연구소장은 "현재 금융권 논의가 특정 고성능 AI 모델에 집중돼 있지만 공격자와 방어자 모두 AI 기술을 활용한 것은 이미 3년 정도 된 이야기"라고 말했다.

이 교수는 AI 기반 공격 자동화가 이미 현실화됐다고 설명했다. 그는 "과거 해킹은 목표를 정하고 정찰하고 취약점을 찾아 공격 코드를 만든 뒤 자산을 가져오는 여러 단계를 거쳤다"며 "이 과정의 80~90%를 자동화하는 사례가 나왔다"고 말했다.

방어 영역에서도 AI 활용은 빠르게 진전되고 있다. 이 교수는 "미국 국방고등연구계획국(DARPA)의 AI 사이버 챌린지에서는 5400만 줄 규모의 코드에서 취약점을 찾고 자동으로 패치하는 AI 시스템이 등장했다"며 "이 기술은 이미 3~4년 전부터 시작됐다"고 말했다.

취약점 탐지와 공격 전환 속도가 빨라지는 점도 금융권에는 부담이다. 이 교수는 "취약점 공개에서 실제 악용까지 걸리는 시간, 즉 공격 전환 시간은 과거 2.3년에서 최근 8시간 수준까지 줄었다"며 "앞으로는 분 단위로 떨어질 수 있어 사람이 찾고 패치하는 수동 체계로는 대응이 불가능하다"고 지적했다.

금융권에서 패치 자동화는 단순 기술 문제에 그치지 않는다. 시스템 변경에는 내부 심의와 운영위원회, 기존 시스템과의 호환성 검토 등이 필요하다. 이 교수는 "AI가 패치를 만들어줘도 이를 실제 시스템에 적용해 운용하는 것은 다른 이야기"라며 "패치 이후 시스템 운용에 문제가 생기면 책임을 운영자가 지는 구조도 있다"고 말했다.

AI 에이전트 도입도 새로운 보안 리스크로 꼽혔다. AI 에이전트는 이용자의 지시에 따라 메일 정리, 일정 등록, 문서 작성, 시스템 접속 등을 스스로 수행하는 AI를 뜻한다. 이 교수는 "실무자뿐 아니라 임원들도 AI 도입을 빠르게 추진하고 있다"며 "쉬운 방법은 사내 아이디와 비밀번호를 주고 알아서 하라고 시키는 것인데, 이 순간 사내와 외부의 경계가 무너질 수 있다"고 경고했다.

프롬프트 인젝션도 대표적 위험으로 제시됐다. 이 교수는 "AI에게 메일함을 정리하고 캘린더에 일정을 넣으라고 했는데 누군가 보낸 메일에 공격자에게 정보를 보내라는 지시가 숨어 있을 수 있다"며 "권한을 가진 AI가 메일함을 훑는 순간 모든 정보를 볼 수 있다"고 말했다.

그는 "AI 자체의 취약점과 AI가 생성한 코드, 공급망 보안을 함께 고민해야 하는 시기"라며 "AI 거버넌스가 중요해지고 있다"고 강조했다. 이어 "자산을 식별하고, AI 기반 스캐너로 취약점과 패치 이력을 남기고, 패치를 생성·적용하며, 무중단 자동화 체계를 구축하는 방향으로 가야 한다"고 덧붙였다.

결국 금융권 AI 전환의 관건은 기술 도입 자체가 아니라 이를 안전하게 통제하며 실제 업무 성과로 연결하는 실행력에 달려 있다는 평가다. AI가 금융업무 전반에 스며들수록 데이터화, 망분리, 권한 관리, 보안 인력, 책임 있는 활용 기준이 함께 갖춰져야 한다.

이날 세션은 금융권 AI 경쟁의 무게중심이 '도입'에서 '통제와 확산'으로 이동하고 있음을 보여줬다. 내부망 기반 AI 플랫폼 구축, 업무 프로세스 재설계, AI 거버넌스와 감독 체계 마련이 맞물릴 때 금융권 AI 활용도 실험 단계를 넘어 본격적인 생산성 경쟁으로 이어질 전망이다.

지다혜 한국금융신문 기자 dahyeji@fntimes.com