이근주 한국핀테크산업협회장, 금융권 AI시대, 망 분리 규제 재설계가 필요

생성형 AI의 발전 속도는 예상을 뛰어넘는다. AI가 생성한 영상은 실제 촬영물과 구별하기 어려울 정도로 정교하며, 문서 작성, 음성 합성, 디자인 시안 제작 등 다양한 업무가 자동화되고 있다.

기업은 물론 개인도 고도의 분석과 창의성이 필요한 영역에서 AI를 적극 활용하고 있다. 업무의 속도뿐 아니라 판단의 정밀도, 전략 수립의 효율성도 획기적으로 향상되고 있다.

그러나 이 같은 기술 발전을 뒷받침할 제도는 만족스럽지 못하다.

대표적인 사례가 금융 산업에 적용 중인 ‘망 분리’ 규제다. 이 규제는 2011년 국내 한 은행의 전산 장애 사고를 계기로 도입됐다. 고객 정보 보호와 금융 시스템의 안정성 확보를 위해, 금융회사 내부망과 외부 인터넷망을 완전히 분리하도록 한 것이다. 도입 당시에는 타당한 조치였다.

그러나 지금은 상황이 다르다. 클라우드, AI, 데이터 암호화 기술은 당시와 비교할 수 없을 정도로 발전했지만, 망 분리 규제는 기술 환경의 변화에 발맞춰 조정되지 않고 있다.

오늘날 생성형 AI는 외부와의 실시간 연결을 전제로 작동한다. 방대한 외부 데이터, API, 글로벌 클라우드 인프라에 접근하지 않고는 정상적인 기능 구현이 어렵다.

예컨대, 고객 데이터를 기반으로 금융 상품 추천 알고리즘을 학습하거나 이상 거래 탐지를 위해 외부 위협 정보를 통합 분석하려면, 외부망과의 연결은 필수적이다. 하지만 망이 분리된 환경에서는 이러한 연동이 제한되어, AI는 고립된 내부망 속에서 본래 기능을 온전히 발휘하지 못한다.

이로 인해 많은 기업들이 불가피하게 이중 인프라를 운영하고 있다. 외부망에서 개발한 기능을 내부망에 이식하거나, 개발·테스트 환경을 분리하여 관리하는 방식이다.

이 과정에는 수작업이 개입되고 승인 절차도 길어져 개발 일정이 지연된다. 당연히 비용도 두세 배로 증가한다. 이러한 구조는 스타트업이나 중소 핀테크 기업에게는 큰 진입 장벽이 된다. 기술을 구현하려면 '망 분리 예외' 승인을 받아야 하는데, 절차는 복잡하고 기준도 불명확하다.

금융 규제 샌드박스를 통해 예외 승인을 받는다 해도, 4년 이내에 실질적인 성과를 입증하지 못하면 종료되며 연장도 쉽지 않다. 결과적으로 기술 도입 속도는 현저히 느려질 수밖에 없다.

해외 주요국의 접근은 다르다. 미국, 영국, EU 대부분 국가는 망 분리를 의무화하지 않는다. 보안은 기업의 책임 하에 관리되며, 대신 강력한 사후 감독과 보안 인증 체계가 작동한다.

싱가포르는 국가 핵심 금융 인프라에만 망 분리를 적용하고, 일반 금융 서비스에는 클라우드와 API 연계를 폭넓게 허용한다.

일본도 금융청 가이드라인을 통해 보안 인증을 전제로 외부망 사용을 허용하고 있으며, 민간 클라우드 이용도 제약 없이 가능하다. 이들 국가는 기술을 차단하기보다는, 위험을 관리하면서 혁신을 유도하는 방식으로 제도를 설계하고 있다.

글로벌 기업들은 이미 AI를 조직 전반에 도입하고 있다. 예를 들어 미국의 핀테크 기업 업스타트(Upstart)는 AI 기반 신용평가 모델을 통해 기존 금융기관이 외면했던 고객에게도 대출 기회를 제공하고 있다.

전체 대출의 75% 이상이 자동화되어 있으며, 승인률도 기존 대비 43% 증가한 것으로 분석된다. 이는 단순한 업무 효율 향상을 넘어, 금융 포용성과 수익성까지 높인 대표적인 AI 기반 혁신 사례다.

하지만 국내에서는 이러한 모델을 구현하는 데 여전히 제약이 따른다. AI가 필요한 데이터에 안정적으로 접근하려면 외부 연계, 실시간 처리, 클라우드 연산 등 기반 인프라가 필요하지만, 현행 규제는 이 모든 요소에 일정 수준의 제한을 가하고 있다. 기술 자체가 부족해서가 아니라, 제도의 병목 때문에 기업들은 실질적인 활용에 어려움을 겪고 있다.

금융당국도 문제를 인식하고 있다. 금융위원회는 규제를 ‘규칙 중심’에서 ‘원칙 중심’으로 전환하겠다는 방침을 밝혔고, 금융감독원도 새로운 IT 감사 가이드라인을 준비 중이다. 그러나 여전히 망 분리 예외 기준은 불분명하며, 현장에서는 금융회사별 해석 차이로 인해 혼선이 이어지고 있다.

기술의 발목을 잡는 규제는 결국 산업 전반의 경쟁력을 약화시킨다. 현재의 망 분리 규제는 ‘보안’이라는 명분 아래 신기술 도입을 제약하고 있다.

하지만 보안과 혁신은 양립할 수 있다. 클라우드 보안 인증, 실시간 트래픽 모니터링, 제로트러스트 기반 접근 통제 등 최신 보안 체계는 물리적 망 분리를 충분히 대체할 수 있다. 중요한 것은 ‘망을 분리했는가’가 아니라, ‘위험을 얼마나 정밀하게 통제하고 있는가’다.

오늘날 금융·서비스 산업의 디지털 전환은 선택이 아닌 일상이 되었고, 핀테크의 확산은 이 변화가 산업 전반에 뿌리내렸음을 보여준다.

정부도 AI 산업 육성을 위해 수십조 원의 예산 투입을 예고한 바 있다. 이제 필요한 것은 기술이 실제로 작동할 수 있는 제도와 실행 환경이다. 아무리 뛰어난 기술과 자본이 있어도, 이를 뒷받침할 구조가 없다면 효과는 제한적일 수밖에 없다.

우리는 지금 중요한 갈림길에 서 있다. 기술은 이미 제도를 앞질렀고, 그 격차는 점점 벌어지고 있다. 선택은 명확하다. 망 분리 규제를 포함한 제도 전반을 기술 친화적으로 재설계해야 한다. 그렇지 않으면, 한국은 AI 시대에 기술은 보유하고도 활용하지 못하는 ‘기술 사각지대’로 전락할 수 있다.

이제 해야 할 일은 분명하다. 기술이 실제로 작동할 수 있는 환경을 만드는 것이다.

[이근주 한국핀테크산업협회장]