AI 에이전트 사이버공격 현실화…금융보안, ‘망분리’ 넘어 상시검증 체계로 바꿔야
▷한국금융연구원 “AI 자율형 공격, 금융권 시스템리스크로 확대 가능”
▷범정부 컨트롤타워·중소형 금융사 보안 격차 해소·오픈뱅킹 동태 관리 과제로
생성형 AI(쳇GPT)의 도움을 받아 시각화하고 기자가 최종 검토 및 확인해 제작한 그래픽입니다. 그래픽에 포함된 데이터와 내용은 기자가 직접 취재한 결과물입니다.
[위즈경제] 류으뜸 기자 =AI 에이전트를 활용한 자율형 사이버공격 위험이 커지면서 국내 금융보안 정책도 개별 회사의 방어 수준을 넘어 금융시스템 전체를 지키는 구조로 재설계해야 한다는 지적이 나왔다.
23일 금융업계에 따르면 AI 에이전트 고도화가 사이버공격의 자동화와 자율화를 앞당기고 있다. 대표적인 예가 클로드 미토스 쇼크다. 클로드 미토스 쇼크는 미국 앤트로픽의 차세대 생성형 AI 모델 ‘클로드 미토스’가 테스트 과정에서 사이버공격에 악용될 위험이 큰 것으로 확인되면서 일반 공개가 보류된 사건이다. 해당 모델은 고도화된 코딩과 추론 능력을 갖춘 것으로 평가됐지만, 동시에 취약점 탐색과 공격 자동화에도 활용될 수 있다는 우려를 키웠다.
이 같은 위험성은 국내 연구기관에서도 제기됐다. 한국금융연구원 서병호 선임연구위원은 최근 금융브리프 ‘AI 에이전트 시대 금융보안 관련 정책과제’ 보고서에서 “AI 에이전트의 고도화로 사이버공격의 자동화·자율화가 가속화되고 있다”며 “AI 기반 자율형 공격의 위험성이 커지고 있어 조속한 대응이 필요하다”고 지적했다.
◇AI 공격, 금융권 ‘동시 마비’ 위험 키워
문제는 AI 에이전트의 공격이 특정 금융회사 한 곳에 그치지 않을 수 있다는 점이다. 금융권은 소프트웨어, 클라우드, 결제 인프라를 공유한다. 한 취약점이 여러 금융회사에 동시에 영향을 줄 수 있다. 보고서는 AI 기반 사이버리스크가 개별 회사의 운영리스크를 넘어 시스템리스크 성격을 띨 가능성이 커졌다고 지적했다.
국제통화기금(IMF)도 같은 우려를 제기했다. 토비아스 아드리안 IMF 금융자문관 등은 지난 5월 ‘AI가 사이버공격을 부추기며 금융안정 위험이 커지고 있다’는 글에서 “금융시스템은 소프트웨어, 클라우드 서비스, 결제망 등 고도로 연결된 공유 디지털 인프라에 의존하고 있다”고 밝혔다. 이들은 “사이버리스크는 점점 상관관계가 있는 동시 실패의 문제가 되고 있다”며 “이런 특성은 사이버리스크를 잠재적 거시금융 충격으로 높인다”고 지적했다.
해외 금융권에서도 경고가 나왔다. 로이터통신에 따르면 일본은행협회장인 가토 마사히코 미즈호은행장은 지난 18일 기자회견에서 “예상 범위를 넘어서는 정교한 사이버공격이 늘어날 수 있다는 우려가 있다”고 말했다. 그는 AI 기반 공격이 심각한 위협이 될 경우 “고객 자산 보호를 위해 ATM 같은 일부 서비스가 선제적으로 중단될 수도 있다”고 밝혔다.
◇경계 방어 한계…제로트러스트 전환 불가피
대안으로 제로트러스트 도입이 거론된다. 제로트러스트는 내부망도 외부망도 신뢰하지 않고 사용자 신원, 단말기 상태, 접근 목적, 데이터 민감도, 이상 행위 여부를 계속 검증하는 방식이다. 서 선임연구위원은 "AI 에이전트가 합법적 접근 권한을 흉내 내거나 접근토큰을 탈취할 수 있어 외부 침입을 막는 경계 방어와 물리적 망분리만으로는 대응이 어렵다"고 지적했다. 사용자 신원, 단말기 상태, 접근 목적, 이상 행위 여부를 계속 검증하는 제로트러스트 전환이 불가피하다는 뜻이다.
정부와 감독당국도 대응에 나섰다. 금융위원회는 2026년 5월 대형 금융회사의 물리적 망분리 규제를 1년간 완화하고 금융보안원 안에 금융 AI보안연구소를 신설하기로 했다. 금융감독원은 디지털 자산 식별과 취약점 분석 강화를 요구했다. 과학기술정보통신부는 오픈AI의 글로벌 사이버 신뢰 접근 협의체 참여를 발표했다.
다만 부처별 대응만으로 충분하지 않다는 게 전문가들 견해다. 금융사고는 금융위원회, 통신 침해는 과기정통부, 공공·국방 보안은 국정원과 사이버작전사령부로 나뉘어 있다. 통신망, 금융망, 공공망을 동시에 겨냥한 공격이 발생하면 대응이 늦어질 수 있다는 것이다.
범정부 통합 보안 컨트롤타워와 공동 대응 프로토콜이 필요한 이유다. 미국, 영국, 일본은 이미 범정부 차원의 사이버보안 대응 체계를 운영하고 있다. 한국도 금융·통신·공공망을 함께 보는 통합 대응 체계를 서둘러야 한다는 지적이 나온다.
◇AI 시대 금융보안, 속도보다 구조가 중요
핵심은 규제 완화와 보안 강화의 균형이다. AI를 활용한 보안 혁신을 막지 않으면서도 금융망 전체의 안정성을 높여야 한다. 대형 금융회사에만 실험 기회를 주면 시장 격차가 커진다. 반대로 준비 없이 전면 완화하면 보안 사고 위험이 커진다.
제로트러스트 도입을 전제로 중소형 금융회사와 금융보안원의 연구 목적 망분리 규제도 단계적으로 완화할 필요가 있다. 오픈뱅킹과 마이데이터의 연결성도 정적인 차단 방식이 아니라 실시간 탐지와 자동 대응 체계로 관리해야 한다.
AI 에이전트 시대의 금융보안은 더 이상 방화벽을 높이는 문제에 머물지 않는다. 공격은 빨라지고, 침투 방식은 정교해지고, 피해는 금융망 전체로 번질 수 있다. 한국 금융당국이 지금 답해야 할 질문은 분명하다. AI를 막을 것인지가 아니라, AI를 활용한 공격보다 더 빠른 방어 체계를 만들 준비가 돼 있느냐다.
댓글 0개
관련 기사
Best 댓글
조직사기의 피해자들은 삶이 여유로운 분들이 아닙니다. 노후대비와 자녀 결혼자금등 사연이 있는 돈인데 너무 안타까워요. 사기꾼들 꼬임에 넘어가지 않았으면 좋겠습니다
2위즈경제기자님감사합니다 피해자의아픔과실체를 널리알리어 많은피해를막아내게해주시고 더이상피해자가생기지않도록전해주십시요
3조직사기는사회좀먹는것입니다최고형으로평생감옥에서살도로해야합니다
4사기범죄 자들은 끝임없이 범죄를 형태만 바꿔가면서. 자행하고 있다 피해자들은 현행법의 보호가 이뤄지지않고있기에 이 사기범죄 를 뿌리뽑을 특별법 을 제정하여야만. 사기범죄를 근절시킬수. 있다 속히 특별법 을 통과시켜. 국민들의삶을. 보호해야합니다
5미쳐돌아가는 대한민국 사기공화국 이제는 정부가 나서야 합니다 솜방망이 처벌 지겹습니다
6피해자들의 삶은 벼랑끝에 서있습니다 특별법 제정으로 피해자들을 구제해 주세요
7피해자들의 일상을 돌려 주세요 너무 힘들게 살고 있어요 사기꾼들 강력하게 처벌해주세요
