박상원號 금융보안원, 금융AI 신뢰성 평가 앞장...'프레임워크' 연내 출범 [금융공기업 이슈]

[한국금융신문 장호성 기자] 박상원 원장이 이끄는 금융보안원이 금융권 인공지능(AI) 확산에 맞춰 AI 안전성과 신뢰성을 평가하는 공통 기준 마련에 속도를 내고 있다.

생성형 AI를 넘어 스스로 업무를 계획하고 실행하는 AI 에이전트 활용이 본격화되면서, 금융권의 혁신 경쟁도 이제는 ‘얼마나 잘 쓰느냐’보다 ‘얼마나 안전하게 통제하느냐’의 문제로 옮겨가는 모습이다.

대표적으로 카카오뱅크는 AI 거버넌스와 자체 레드팀, 제3자 모의해킹, 가드레일 시스템 등 실무형 방어 체계를 고도화하고 있으며, NH농협은행은 금융보안원과 은행권 최초로 디지털자산 서비스 기술 검증 및 보안 강화를 위한 업무협약을 체결하며 AI·디지털자산 시대의 신뢰 인프라 확보에 나섰다.

금융보안원, 금융AI 안전성 프레임워크 설계

금융보안원은 지난 13일, 서울 여의도 금융투자협회 불스홀에서 금융회사 및 유관기관 CISO·CIO 등 임직원 260명이 참석한 가운데 ‘2026년 금융권 AI 활용 및 안전성·신뢰성 강화 세미나’를 개최했다. 이번 세미나는 금융회사의 AI 도입·운영 과정에서 필요한 위험관리 방향을 공유하고, 클로드 미토스 등 초고성능 프론티어 AI가 촉발할 수 있는 사이버보안 위협 대응 방안을 논의하기 위해 마련됐다.

금융보안원은 이날 금융AI 안전성·신뢰성 평가 프레임워크 초안을 공개했다.

평가 기준은 크게 금융AI 신뢰성과 금융AI 안전성으로 나뉜다. 신뢰성 영역에서는 모델 성능 관리, 데이터 품질 관리, 공정성·편향성, 설명가능성 등이 주요 항목으로 제시됐다. 안전성 영역에서는 AI 특화 보안위협 식별, 특화 공격 탐지·대응, AI 자산 보호관리, 외부 모델·데이터 검증, 기존 보안관리의 확장 적용, 운영 전 보안 검증 등이 포함됐다.

금융보안원은 국내외 AI 안전성·신뢰성 평가 체계를 분석해 국내 금융권에 적합한 평가 프레임워크를 마련하고, 올해 하반기 중 금융회사의 신청을 받아 AI 안전성·신뢰성 시범평가를 실시할 계획이다. 금융권 공통 평가 기준이 마련되면 각 금융회사가 개별적으로 구축해온 AI 통제 체계도 보다 객관적인 기준 아래 검증될 수 있을 전망이다.

카뱅·우리銀, 자체 레드팀·모의해킹 등 안전훈련

이번 세미나에서 가장 눈에 띈 금융사 사례 중 하나는 카카오뱅크다. 카카오뱅크는 ‘AI, 신뢰성 및 안전성 확보를 위한 노력’을 주제로 AI 거버넌스와 자체 AI 레드팀, 제3자 모의해킹, 가드레일 개발, AI 취약점 공동 대응체계, 버그바운티 등 안전한 AI 활용을 위한 대응 체계를 소개했다.

카카오뱅크의 접근은 단순히 생성형 AI 사용을 제한하는 방식이 아니라, 실제 공격 가능성을 전제로 방어 체계를 설계하는 데 초점이 맞춰져 있다. 프롬프트 인젝션, 민감정보 유출, 비정상 함수 호출, 멀티턴 공격 등 LLM 특화 위협이 현실화되는 만큼 입력과 출력 단계에서 위험 신호를 걸러내는 가드레일과 외부 검증 체계를 함께 운영하는 식이다.

특히 금융 AI는 단순 질의응답을 넘어 계좌 조회, 상품 추천, 심사 보조, 이상거래 탐지 등 실제 금융 거래와 연결될 수 있다는 점에서 일반 산업보다 높은 수준의 통제가 요구된다. AI가 잘못된 추론을 하거나 공격자의 유도에 따라 비정상적인 명령을 수행할 경우 소비자 피해와 내부통제 리스크로 직결될 수 있기 때문이다.


NH농협은행 역시 14일, 은행권 처음으로 디지털자산 서비스 기술 검증 및 보안 강화를 위한 업무협약을 체결했다. 이번 협약은 디지털자산 서비스가 금융권 전반으로 확산되는 가운데 기술 혁신과 보안의 조화가 중요하다는 양 기관의 공감대를 바탕으로 추진됐다.

양 기관의 주요 협력 범위는 디지털자산 서비스에 대한 보안 점검 및 보안성 검증, 안전한 디지털자산 서비스 운영 환경 구축을 위한 정보 교류, 기술 검증 결과의 비즈니스 적용 가능성 탐색 등이다. 농협은행은 이번 협약을 단순한 디지털자산 활용사례 발굴 차원을 넘어, 고객이 안전하게 서비스를 이용할 수 있는 환경을 조성하는 출발점으로 삼겠다는 구상이다.

농협은행의 행보는 최근 은행권의 디지털자산 대응 흐름과도 맞물린다. 농협은행은 한국은행의 ‘프로젝트 한강’, 국제결제은행의 ‘프로젝트 아고라’, 스테이블코인 기반 텍스리펀드 디지털화 PoC 등 디지털자산 전 분야에 걸쳐 준비를 이어가고 있다.

박상원 원장은 “디지털자산은 기술적 혁신뿐만 아니라 반드시 신뢰가 뒷받침되어야 한다”며 “보안 점검 등을 통해 디지털자산 서비스가 금융권에 안착할 수 있도록 적극 지원하겠다”고 말했다.

이 밖에도 우리은행은 금융보안원 보안 전문가와 화이트해커, 정보보호학과 교수진이 심사에 참여하는 모의해킹 경진대회 ‘WooriCON’을 운영해왔다. 인터넷뱅킹과 모바일뱅킹 서비스의 취약점을 외부 전문가 관점에서 점검하는 방식으로, 금융권의 버그바운티형 보안 검증 문화 확산 사례로 꼽힌다.

개별 금융사 통제로는 부족, ‘소버린 AI’ 필요성

AX 시대에 발맞춰 금융보안원의 역할은 단순 보안 점검 기관에 그치지 않고, 금융권 AI·디지털 신뢰 인프라를 조율하는 허브로 넓어지고 있다.

AI 에이전트가 금융 업무 전반으로 확산될수록 개별 금융회사의 자체 통제만으로는 리스크 관리에 한계가 있다. 공통 평가 기준, 취약점 공동 대응, 보안성 검증, AI 모델 공동 활용 등 업권 단위의 협력 체계가 중요해지는 이유다.

네이버클라우드 등 IT 기반 기업들이 강조하는 ‘소버린 AI’ 논의도 같은 맥락에 있다. 국내 금융 규제와 한국어 데이터, 금융소비자 보호 기준을 반영한 AI 체계가 마련돼야 외산 범용 모델 의존에 따른 데이터 주권과 보안 우려를 줄일 수 있기 때문이다.

박상원 원장은 “AI는 금융산업의 혁신을 가속화하는 핵심 기술이지만, 금융분야에서 안정적으로 활용되기 위해서는 보안성, 안전성, 신뢰성이 함께 확보되어야 한다”고 강조했다. 이어 금융보안원 AI 조직의 확대·개편을 통해 AI에 의한 사이버 공격 및 방어 연구, AI 보안 인재 양성 등을 추진하겠다는 방침도 밝혔다.

장호성 한국금융신문 기자 hs6776@fntimes.com