since 1992

대한민국 최고 금융경제지

닫기
한국금융신문 facebook 한국금융신문 naverblog 한국금융신문 instagram 한국금융신문 youtube 한국금융신문 newsletter 한국금융신문 threads

AI·금융사기·내부통제 리스크 커진다…5대銀, 보안 전략 전면 재편 [2026 은행권 보안 전략 ①]

기사입력 : 2026-07-06 14:00

  • kakao share
  • facebook share
  • telegram share
  • twitter share
  • clipboard copy

생성형 AI 확산·망분리 완화 논의 속 방어체계 지능화
5대 은행 CISO, FDS·공급망·경영 리스크 대응 전략 제시

(왼쪽부터) 이환주 KB국민은행장, 정상혁 신한은행장, 이호성 하나은행장, 정진완 우리은행장, 강태영 NH농협은행장 / 사진=각 사이미지 확대보기
(왼쪽부터) 이환주 KB국민은행장, 정상혁 신한은행장, 이호성 하나은행장, 정진완 우리은행장, 강태영 NH농협은행장 / 사진=각 사
[한국금융신문 지다혜 기자] 생성형 인공지능(AI) 확산과 망분리 규제 완화 논의가 맞물리면서 은행권 보안 전략이 빠르게 재편되고 있다. 과거 정보보호가 침해사고 방지와 규제 준수 중심이었다면 이제는 AI 기반 공격, 공급망 침투, 내부자 리스크, 개인정보 보호, 금융사기 대응까지 포괄하는 경영 리스크 관리 영역으로 확대되는 흐름이다.

특히 AI가 보안 업무의 효율성을 높이는 동시에 공격자의 도구로도 활용되면서 은행들은 방어 체계 전반을 다시 설계하는 단계에 들어섰다. 주요 은행 정보보호최고책임자(CISO)들은 AI 시대 금융보안의 핵심 과제로 보안관제 지능화, 이상거래탐지시스템(FDS) 고도화, 접근권한 통제, 공급망 보안, 이사회 보고체계 강화를 꼽았다.

이번 기획은 KB국민·신한·하나·우리·NH농협 등 5대 은행 CISO 서면 인터뷰를 토대로 AI 시대 은행별 보안 전략과 공통 과제를 짚어본다.

AI 방어체계 지능화

AI·금융사기·내부통제 리스크 커진다…5대銀, 보안 전략 전면 재편 [2026 은행권 보안 전략 ①]이미지 확대보기


은행권이 가장 크게 인식하는 변화는 AI 기반 공격의 고도화다. 생성형 AI를 활용하면 피싱 메일, 악성코드 제작, 취약점 탐색, 공격 시나리오 구성 속도가 한층 빨라질 수 있다는 평가다. 기존처럼 알려진 공격 유형을 룰 기반으로 탐지하는 방식만으로는 대응에 한계가 커진 셈이다.

KB국민은행은 생성형 AI를 통해 공격 시나리오와 도구까지 자동 생성되는 위협에 대응하기 위해 취약점 탐지, 공격 시뮬레이션, 단말·네트워크 탐지, 정책 개선을 반복하는 통합 보안 루프를 구축 중이다. 제로트러스트와 위험관리체계(RMF)도 보안 아키텍처의 핵심 축으로 삼았다. 외부 AI·클라우드 서비스 접근이 늘어나는 상황에서 접속 위치가 아니라 신원, 기기, 행위를 기준으로 신뢰를 검증하는 구조다.

하나은행은 보다 직접적으로 'AI 공격은 AI로 막는다'는 대응 전략을 내세웠다. 탐지, 방어, 대응에 이르는 사이버 보안 전 주기에 AI 기술을 활용하는 HASF(Hana AI Security Framework)를 단계적으로 추진한다. 그룹 통합보안관제센터와 ASM(공격표면관리체계)을 통해 관계사와 외부 접점까지 모니터링하는 점도 강조했다.

NH농협은행 역시 AI 기반 보안관제와 AI 레드티밍 공격 시뮬레이션을 향후 핵심 대응 과제로 제시했다. 특히 정상 사용자나 정상 시스템으로 위장하는 공격이 늘어나는 만큼 사용자, 계정, 단말, 서버의 행위 기반 분석 고도화에 초점을 맞췄다.

FDS로 금융사기 대응 고도화

금융사기 대응도 은행권 보안 전략의 핵심축으로 부상했다. 보이스피싱, 스미싱, 계정 탈취, 대량 부정거래 등 금융사기 수법이 빠르게 바뀌면서 FDS 고도화 필요성이 커졌다.

신한은행은 다양한 거래 패턴과 이용 행위를 종합적으로 분석해 이상 징후를 탐지하는 방향으로 FDS를 고도화하고 있다. 기존 규칙 기반 탐지 방식에서 놓칠 수 있는 복합적인 이상 행위를 AI 기술로 식별해 고객의 정상 거래 편의성은 유지하면서 금융사기 예방 역량을 높이겠다는 구상이다.

우리은행은 금융권 최초로 거대언어모델(LLM) 기반 신종 이상거래 분석 FDS 플랫폼을 설계했다. 기존에는 이미 학습된 이상금융거래 패턴을 분석하는 방식이었다면, 앞으로는 AI가 새로운 이상거래 패턴을 생성하고 정합성을 검증해 탐지 정책을 정교화한다. 다만 최종 판단은 사람이 내리는 HITL(Human in the Loop) 체계를 적용해 AI 효율성과 사람의 책임 있는 판단을 함께 확보했다.

하나은행은 정부 주관 AI 기반 보이스피싱 정보공유분석시스템(ASAP)에 공동 참여하고 있다. 금융·통신·수사기관의 범죄 정보를 모아 AI로 분석하는 체계를 통해 보이스피싱 대응력을 높이겠다는 취지다. 아울러 AI 기반 그룹 공동 보이스피싱 FDS 구축도 추진하고 있다.

공급망·내부통제 리스크 관리 강화

생성형 AI와 클라우드, SaaS 활용이 확대되면서 외부 협력사와 오픈소스, AI 모델을 통한 공급망 리스크도 커지는 추세다. 은행들은 보안의 경계가 내부 전산망에 머무르지 않는다는 판단 아래 공급망 관리 체계를 강화하고 있다.

국민은행은 소프트웨어 공급망과 AI 모델 공급망을 나눠 관리하고 있다. 오픈소스 컴포넌트를 목록화하고 취약점과 자동 매핑하는 SBoM(Software Bill of Materials) 체계를 도입했으며, 외부 AI 모델이나 API 도입 시 모델 출처, 학습 데이터 오염 가능성, 프롬프트 인젝션 취약성, 개인정보 처리 방식 등을 심의하는 프로세스를 운영한다.

신한은행은 외부 협력사, 소프트웨어 공급망, AI 서비스 활용 과정까지 보안 관리 대상으로 보고 있다. 신기술 도입 시 보안성과 안정성을 검토하고, 생성형 AI 활용 가능성과 정보보호 위험요인을 균형 있게 살피는 방식이다.

내부통제와 개인정보 보호도 주요 관리 항목으로 강화되고 있다. 우리은행은 180여개 개인정보처리시스템 접속 활동을 통합 모니터링하는 개인정보 접속기록 관리시스템을 구축했다. 또 서버 접속 주요 PC에는 모니터 카메라와 안면 인식 기술을 활용한 지속 인증 보안체계를 구축하고 있다. 농협은행도 최소권한 원칙, 정기 권한 점검, 퇴직·이동자 권한 회수, 특권계정 통제, 중요정보 접근 모니터링을 핵심 통제 항목으로 운영하고 있다.

CISO, 경영 리스크 관리 핵심으로

AI·금융사기·내부통제 리스크 커진다…5대銀, 보안 전략 전면 재편 [2026 은행권 보안 전략 ①]이미지 확대보기


은행권 CISO의 역할도 달라지고 있다. 정보보호가 IT 부서의 기술 이슈를 넘어 이사회와 경영진이 직접 점검해야 할 핵심 리스크로 격상됐기 때문이다.

국민은행은 정보보호본부의 조직 체계 변화가 정보보호를 경영전략 기능으로 격상시키는 계기가 됐다고 보고 있다. 사이버 리스크를 경영 리스크로 정량화해 이사회 등에 보고하고, 정보보호와 내부통제 간 연계를 강화하는 방식이다.

하나은행은 CISO의 최고경영자(CEO) 직보 체계를 운영하고 있다. 정기·수시 보고뿐 아니라 경영협의회와 이사회 보고를 통해 정보보호 현안을 공유한다. 긴급 상황에서는 '선 대응, 후 보고' 체계로 전환해 빠른 의사결정을 가능하게 하는 점을 강점으로 꼽았다.

우리은행은 정보보안 관련 안건을 이사회에 직접 보고하고 있다. 최근에는 고성능 AI 미토스 등장과 망분리 규제 완화 검토에 대한 내용이 중점적으로 논의됐다. 금융보안원장을 이사회에 초빙해 대내외 금융보안 동향 특강을 진행한 점도 눈에 띈다.

농협은행은 CISO가 개인정보보호최고책임자(CPO), 신용정보관리·보호인(CIAP), 고객정보관리인을 겸직하는 통합 정보보호 컨트롤타워 체계를 운영한다. 정보보안과 개인정보보호의 경계가 흐려지는 환경에서 단일화된 의사결정 체계를 통해 초동 대응 시간을 줄이고, 기술 리스크와 규제 리스크를 종합적으로 관리하겠다는 전략이다.

은행권의 보안 전략은 AI 활용 확대와 함께 더 빠르게 바뀔 전망이다. 보안은 더 이상 혁신의 속도를 늦추는 통제 장치가 아니라, 안전한 디지털 금융을 가능하게 하는 기반으로 자리 잡았다.

주요 은행 CISO들이 제시한 AI 시대 금융보안의 핵심은 혁신과 안전의 균형, 고객 신뢰 확보, 책임 있는 통제다. AI가 금융서비스 혁신의 핵심 기술로 자리 잡는 만큼, 보안 체계 역시 사후 대응보다 설계 단계부터 내재화해야 한다는 데 무게가 실린다. 결국 AI 시대 금융보안의 경쟁력은 기술 도입 자체보다, 기술을 안전하게 통제하고 고객 신뢰를 지키는 체계를 얼마나 촘촘하게 갖추느냐에 달렸다.

지다혜 한국금융신문 기자 dahyeji@fntimes.com

데일리 금융경제뉴스 Copyright ⓒ 한국금융신문 & FNTIMES.com

저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지

가장 핫한 경제 소식! 한국금융신문의 ‘추천뉴스’를 받아보세요~

issue
issue

금융 BEST CLICK