• 구독신청
  • My스크랩
  • 지면신문
FNTIMES 대한민국 최고 금융 경제지
ad

[인터뷰] 김성웅 금융보안원 금융AI보안연구소장 "ASAP·공동모델로 AI 방어체계 지원" [2026 금융권 보안 전략]

지다혜 기자

dahyeji@fntimes.com

기사입력 : 2026-07-14 07:00

보이스피싱 탐지 지원…취약점 점검도 추진
고위험 취약점 우선관리…에이전틱 AI 최소 권한 통제

김성웅 금융보안원 금융AI보안연구소장 / 사진=금융보안원

김성웅 금융보안원 금융AI보안연구소장 / 사진=금융보안원

이미지 확대보기
[한국금융신문 지다혜 기자] 고성능 인공지능(AI) 확산으로 금융권 보안의 무게중심이 빠르게 이동하고 있다. AI가 취약점 탐색과 공격 시나리오 구성, 보이스피싱 고도화 등에 활용되면서 금융회사는 AI를 쓰는 동시에 AI로부터 방어해야 하는 과제를 안게 됐다. 금융보안원은 금융AI보안연구소를 중심으로 보이스피싱 탐지 AI 공동모델과 에이샙(ASAP), AI 취약점 점검 지원을 통해 금융권의 AI 방어체계를 뒷받침하고 있다.

김성웅 금융보안원 금융AI보안연구소장은 한국금융신문과의 인터뷰에서 "AI 보안 위협은 단순히 새로운 공격 도구가 등장했다는 차원을 넘어선다"며 "기존 사이버 위협과 가장 큰 차이는 속도와 자동화"라고 말했다.

이어 "금융회사도 기존처럼 인간의 능력에만 의존해서는 한계가 있다"며 "지능화·자동화된 방어체계를 갖추기 위해서는 방어적 측면에서의 AI 기술 활용을 적극 검토해야 한다"고 강조했다.

금결원·금융위 거친 AI 보안 전문가

[인터뷰] 김성웅 금융보안원 금융AI보안연구소장 "ASAP·공동모델로 AI 방어체계 지원" [2026 금융권 보안 전략]이미지 확대보기


김 소장은 금융결제원과 금융위원회, 금융보안원을 거치며 전자금융과 금융보안 정책, AI 보안 실무를 두루 경험한 인물이다. 1975년생인 그는 서강대학교에서 전자계산학 학사와 컴퓨터학 석사 학위를 받았다. 2001년 금융결제원에 입사했으며, 2013년부터 2015년까지 금융위원회 전자금융과에 파견됐다.

이후 금융보안원 정책연구팀장, 기획조정팀장을 거쳐 2024년부터 AI혁신부장을 맡았다. 올해 금융보안원이 원장 직속 본부급 조직인 금융AI보안연구소를 신설하면서 김 소장은 초대 연구소장에 발탁됐다.

금융AI보안연구소는 기존 AI혁신부의 역할을 넘어 AI 보안 전반을 포괄하는 조직이다. 기존 조직이 금융회사의 AI 도입 지원과 금융 AI 서비스 보안성 평가에 중점을 뒀다면 연구소는 AI 보안 위협 대응, 금융 AI 서비스 안전성 확보, AI 기반 보이스피싱 대응, 클라우드 보안 지원까지 함께 맡는다.

김 소장은 "기존 AI혁신부가 금융회사의 AI 도입을 지원하고 금융 AI 서비스에 대한 보안성 평가를 수행하는 역할에 중점을 뒀다면, 새롭게 출범한 금융AI보안연구소는 AI 보안 전반을 포괄하는 통합 조직이라는 점에서 차이가 있다"고 설명했다. 이어 "연구소 출범 이후 가장 중요한 과제는 금융권 전반의 AI 위협 대응 역량을 강화하는 것"이라고 말했다.

취약점 우선관리가 핵심

김 소장은 고성능 AI 시대의 주요 대응 과제로 취약점 관리 체계 전환을 짚었다. AI가 대량의 취약점을 빠르게 찾아낼 수 있게 되면서 금융회사가 모든 취약점을 같은 속도와 방식으로 처리하기는 어려워졌기 때문이다.

그는 "앞으로 AI는 대량의 취약점을 더 빠르게 찾아낼 것"이라며 "반면 인간 전문가가 이를 분석하고 검증하는 데에는 여전히 많은 시간이 소요될 것"이라고 진단했다. 단기간에 대량의 취약점이 공개될 때를 대비해 패치 체계와 절차를 재점검해야 한다는 설명이다.

취약점 대응의 구체적 방향도 제시했다. 핵심은 우선순위 설정이다. 취약점 자체의 위험도뿐 아니라 해당 취약점의 영향을 받는 자산, 시스템, 네트워크 장비의 중요도, 해당 자산이 처리하는 정보의 성격까지 함께 고려해야 한다는 것이다.

김 소장은 "모든 것을 한 번에 할 수는 없는 만큼 우선순위를 정밀하게 정해 높은 것부터 처리해야 한다"며 "패치하지 못한 부분은 왜 패치하지 못했는지, 앞으로 어떻게 조치할 것인지, 대체 수단은 있는지까지 식별해 보고하는 체계가 필요하다"고 말했다.

금융보안원이 최근 공개한 '프런티어 AI 보안 위협 금융분야 대응 요령'도 패치 관리의 중심을 단순 취약점 제거에서 공격 성공 가능성을 낮추는 방향으로 전환해야 한다고 제시했다. 고위험 취약점은 일 단위로 관리하고, 즉시 패치가 어려운 시스템은 격리, 웹방화벽(WAF)·침입방지시스템(IPS) 차단, 서비스 제한 등 대체 조치까지 명확히 해야 한다는 취지다.

개발 단계에서부터 AI를 활용한 취약점 점검을 프로세스에 넣어야 한다는 점도 강조했다. 그는 "소스코드가 바뀔 때마다 AI가 잠재적 취약점을 실시간으로 점검하고 필요한 조치를 제시하는 방식이 개발·운영 과정의 일부가 돼야 한다"며 "우선순위를 정하고, 미조치 취약점 관리 방안을 세우고, 개발 전 과정에서 AI로 취약점을 자동 점검하는 것이 중요하다"고 말했다.

에이전틱 AI 권한 통제

김성웅 금융보안원 금융AI보안연구소장이 지난 6일 경기 용인시 금융보안원 본원에서 진행된 한국금융신문과의 인터뷰에서 AI 보안 위협 대응 방향을 설명하고 있다. / 사진=금융보안원

김성웅 금융보안원 금융AI보안연구소장이 지난 6일 경기 용인시 금융보안원 본원에서 진행된 한국금융신문과의 인터뷰에서 AI 보안 위협 대응 방향을 설명하고 있다. / 사진=금융보안원

이미지 확대보기



금융회사의 AI 활용이 고도화될수록 AI가 기존 업무시스템과 어떻게 연결되는지도 핵심 점검 대상이 된다. 김 소장은 금융회사가 AI 서비스를 도입하거나 고도화할 때 AI 자체의 안전성뿐 아니라 AI가 업무시스템과 상호작용하는 방식까지 함께 살펴야 한다고 봤다.

그는 "기존 AI가 사용자의 질문에 답변하는 비서에 가까웠다면, 에이전틱 AI는 목표를 설정하고 여러 업무를 자율적으로 수행할 수 있다"며 "생산성을 크게 높일 수 있지만 그만큼 보안 리스크도 증가하게 된다"고 말했다.

단순 챗봇이 잘못된 답변을 내놓는 것과 업무시스템과 연결된 AI가 잘못된 행동을 실행하는 것은 위험의 크기가 다르다. 김 소장은 "질문에 답변하는 수준에서 끝나는 AI는 오류가 나도 영향이 제한적일 수 있지만, 시스템과 연결된 상태에서 잘못된 액션으로 이어지면 걷잡을 수 없다"고 지적했다.

그가 에이전틱 AI 통제에서 가장 중요하게 본 요소는 권한관리다. 김 소장은 "AI에는 정말 필요한 권한만 부여해야 한다"며 "최소 권한 원칙이 가장 중요하다"고 말했다. 계정계 시스템과 연결할 필요가 없는 AI는 정보계 시스템으로 접근 범위를 제한하고, 반드시 필요한 경우에만 권한을 부여해야 한다는 취지다.

다만 최소 권한을 부여하더라도 AI가 여러 시스템과 연계되면 오작동의 파급 범위를 예측하기 쉽지 않다. 김 소장은 "AI가 잘못된 행동을 했을 때 어느 시스템까지 영향을 미칠지, 업무와 데이터 처리 과정에 어떤 영향을 줄지 분석하는 것이 매우 어렵다"고 설명했다.

금융보안원은 금융 AI의 종합적인 안전성·신뢰성을 평가할 수 있는 프레임워크 개발도 마무리 단계에 들어갔다. 올해 하반기 시범평가를 거쳐 그 결과를 반영한 뒤 본격적인 평가 체계를 운영할 계획이다. 김 소장은 이와 함께 AI 서비스 도입 과정에서 편향, 잘못된 판단, 악의적 입력·우회 공격 취약성 등을 함께 점검해야 한다고 강조했다.

공동모델·ASAP으로 보이스피싱 대응

AI 기반 보이스피싱 대응도 연구소의 주요 과제다. 금융보안원은 인터넷전문은행 3사인 카카오뱅크·케이뱅크·토스뱅크와 연합학습 기반 '보이스피싱 탐지 AI 공동모델'을 개발했다. 원본 데이터를 외부에 공유하지 않고 각 기관의 모델 학습 결과를 결합해 공동모델을 만든 방식이다.

김 소장은 "금융보안원이 인터넷은행들과 함께 연합학습 기술을 보이스피싱 탐지 공동모델에 적용하겠다고 구상한 것은 2024년부터였다"며 "당시에는 이론적 수준에 가까웠던 AI 신기술을 2년여의 개발 과정을 거쳐 실제 운영 인프라에 적용했다는 점이 가장 큰 성과"라고 말했다.

실무 성과도 확인됐다는 설명이다. 그는 "공동모델은 기존 개별 모델이 탐지하지 못했던 다수의 보이스피싱 사고를 탐지했다"며 "정보 공유 없이도 성능 좋은 공동모델을 개발할 수 있다는 점이 입증된 만큼 공동모델 개발 범위와 참여자를 더 확대할 계획"이라고 밝혔다.

인터넷은행 3사는 각자 기존 시스템과 공동모델을 함께 운영하며 탐지 결과를 비교·활용하게 된다. 김 소장은 "공동모델이 사기 가능성이 있다고 판단했는데 기존 시스템이 이를 포착하지 못했다면 한 번 더 들여다보는 방식이 될 수 있다"며 "거래를 차단할지, 고객에게 추가 확인을 할지 등 실제 활용 방식은 금융회사의 자율 영역"이라고 설명했다.

중소형 금융회사에는 보이스피싱 정보공유·분석 AI 플랫폼인 에이샙(ASAP)을 통해 공동모델 활용을 지원한다. 자체 AI 시스템 구축 여력이 부족한 금융회사가 의심 거래를 ASAP에 질의하면 공동모델이 산출한 위험 수준을 제공받는 방식이다. 이후 고객 확인, 거래 차단, 사후 분석 등 구체적인 조치는 각 금융회사가 기존 시스템과 함께 판단하게 된다.

연구소 산하 AI보안지원센터도 중소 금융사 지원 창구 역할을 맡는다. 김 소장은 "중소 금융사는 상대적으로 보안 인력과 예산 측면에서 한계가 많아 고성능 AI 기반 보안 위협 대응에 부담을 느끼고 있다"고 말했다. 금융보안원은 중소 금융사를 대상으로 보유 AI 모델과 인력을 활용한 취약점 점검 지원도 추진 중이다.

AI 보안, 경영 리스크로

[인터뷰] 김성웅 금융보안원 금융AI보안연구소장 "ASAP·공동모델로 AI 방어체계 지원" [2026 금융권 보안 전략]이미지 확대보기


망분리 규제 완화 이후 AI·SaaS 활용 확대에 따른 보안점검도 연구소가 맡을 과제다. 김 소장은 외부 AI 서비스나 SaaS를 활용할 때 가장 먼저 고려해야 할 사항으로 인증 수단과 접근권한 관리를 꼽았다. 내부망이 외부망과 연계된 환경에서는 다중 인증, 최소 권한 부여, 접근 통제 등 기본 보안조치가 더 중요해진다는 설명이다.

사고 확산을 막기 위한 격리와 탐지 체계도 필요하다. 김 소장은 데이터, 네트워크, 시스템을 용도와 중요도에 따라 구분하고, 엔드포인트에서 이상 징후를 실시간으로 탐지·대응해야 한다고 봤다. 금융보안원은 망분리 예외를 적용받는 금융회사를 대상으로 보안 체계가 적절히 마련돼 있는지 점검하고, 향후 모범사례를 바탕으로 표준적 보안체계도 제시할 계획이다.

김 소장은 AI 보안을 기술 부서만의 문제가 아니라 경영 리스크로 봐야 한다고 강조했다. 그는 "AI 전환이 본격화하는 지금 혁신과 보안은 반드시 함께 추진해야 한다"며 "보안 수준이 곧 혁신의 지속가능성을 결정한다"고 말했다. 이어 "아무리 우수한 AI 서비스를 개발하더라도 보안사고가 발생하면 신뢰도는 추락하고 사업 지속도 불투명해진다"고 덧붙였다.

금융보안원의 대응요령도 경영진 책임 강화에 무게를 둔다. 대응요령에는 AI 보안 위협을 경영 리스크로 다루고, 패치 관리·외부 노출 자산·복원력 수준 등 주요 보안 지표를 경영진에 보고하는 체계를 마련해야 한다는 내용이 담겼다.

김 소장은 경영진과 이사회의 역할도 짚었다. 그는 "이사회와 최고경영자(CEO)가 기술적인 내용을 하나하나 모두 들여다보기는 어렵지만 정보보호 계획과 주요 점검 결과를 제대로 보고받는 체계가 마련돼 있는지, 적절한 인력과 예산이 배분돼 있는지는 반드시 확인해야 한다"고 말했다.

이사회 내 정보보호 관련 소위원회 필요성도 언급했다. 그는 "이사회 아래 감사위원회, 위험관리위원회 등은 있지만 정보보호를 별도로 다루는 소위원회는 많지 않다"며 "정보보호 이슈를 경영진 차원에서 논의할 수 있는 체계를 적극적으로 검토할 필요가 있다"고 설명했다.

김 소장은 금융AI보안연구소의 역할에 대해 "AI를 잘 아는 사람만으로 모든 보안 문제를 해결할 수 있는 것은 아니다"라며 "금융보안 현업의 전문성과 AI 기술을 연결해 한 발, 반 발 앞선 활용 방안을 먼저 연구하고 금융회사가 실제 대응 체계로 옮길 수 있도록 돕겠다"고 강조했다.

지다혜 한국금융신문 기자 dahyeji@fntimes.com

데일리 금융경제뉴스 FNTIMES - 저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지
Copyright ⓒ 한국금융신문 & FNTIMES.com

가장 핫한 경제 소식! 한국금융신문의 ‘추천뉴스’를 받아보세요~

금융 다른 기사

1 DQN양종희號 KB금융, 녹색금융 20.84조 ‘기염’···친환경 기반 강화 [금융권 기후금융 점검] KB금융이 2025년 말 환경부문 금융상품 잔액 20조 8400억원을 기록하며 압도적인 성과를 보였다.자산규모와 자본체력을 바탕으로 상품·투자·대출을 아우르는 녹색금융 기반을 구축하고 있다.공급 규모에서는 차이가 있지만, 신한·하나·우리금융 모두 독자적 전략으로 녹색금융을 강화하는 모습이다.신한금융은 2025년 한 해 친환경금융 신규취급액이 7조 5440억원으로 전년보다 41% 증가했으며, 친환경 프로젝트파이낸싱(PF)이 전체 실적 확대를 주도했다.하나금융은 한국형 녹색분류체계(K-Taxonomy) 적합 여신 9890억원과 누적 ESG금융 심사 약 1900건을 기록했다. 녹색 여부를 자동 판별하고 심사 결과를 우대금리·한도·계약조건과 사후 2 양종희 "머니무브, 위기 아닌 기회"...KB금융, WM·CIB·AI ‘3년 전략’ 재설계 [2026 금융지주 하반기 경영전략] 양종희 회장이 이끄는 KB금융그룹이 자산관리(WM)와 퇴직연금, 자산운용을 차기 성장동력으로 앞세우고 인공지능 전환(AX)을 통해 이를 뒷받침하는 사업구조 재편에 나선다.KB금융은 지난 10일부터 11일까지 경남 사천 KB인재니움에서 양종희 회장을 포함한 그룹 경영진 약 270명이 참석한 가운데 하반기 경영진 워크숍을 열고 2027~2029년 중장기 경영전략을 논의했다.이 자리에서 양종희 회장은 자본시장으로의 머니무브를 위기가 아닌 WM과 자산운용 경쟁력을 높일 기회로 규정하고, 모든 계열사가 고객을 중심으로 함께 움직여야 한다고 강조했다. 기존 업무 방식과 프로세스 역시 AI를 기반으로 전면 재설계할 것을 주문했다.은행·비은행 W 3 김성웅 금융보안원 금융AI보안연구소장 "ASAP·공동모델로 AI 방어체계 지원" [2026 금융권 보안 전략] 고성능 인공지능(AI) 확산으로 금융권 보안의 무게중심이 빠르게 이동하고 있다. AI가 취약점 탐색과 공격 시나리오 구성, 보이스피싱 고도화 등에 활용되면서 금융회사는 AI를 쓰는 동시에 AI로부터 방어해야 하는 과제를 안게 됐다. 금융보안원은 금융AI보안연구소를 중심으로 보이스피싱 탐지 AI 공동모델과 에이샙(ASAP), AI 취약점 점검 지원을 통해 금융권의 AI 방어체계를 뒷받침하고 있다.김성웅 금융보안원 금융AI보안연구소장은 한국금융신문과의 인터뷰에서 "AI 보안 위협은 단순히 새로운 공격 도구가 등장했다는 차원을 넘어선다"며 "기존 사이버 위협과 가장 큰 차이는 속도와 자동화"라고 말했다.이어 "금융회사도 기존처럼 인간의
ad
ad

한국금융 포럼 사이버관

더보기

FT카드뉴스

더보기
환전·로또·육아휴직까지 하반기부터 달라지는 제도 TOP11
[그래픽 뉴스] 은퇴후 30년 부모님 세대의 생존전략
[그래픽 뉴스] 퇴근 후 주차했는데 수익 발생? V2G의 정체
[그래픽 뉴스] “전쟁 신호를 읽는 가장 이상한 방법, 피자 주문량”
[그래픽 뉴스] 트럼프의 ‘타코 한 입’에 흔들린 시장의 비밀

FT도서

더보기