2022-08-17 13:45 (수)
2022년 말, AI 보안성 검증체계 위해 ‘AI 보안 가이드라인’ 마련
상태바
2022년 말, AI 보안성 검증체계 위해 ‘AI 보안 가이드라인’ 마련
  • 길민권 기자
  • 승인 2022.08.04 16:53
이 기사를 공유합니다

금융권, 인공지능 활용 발목잡는 망분리·클라우드 규제

인공지능(AI)은 4차 산업혁명을 이끄는 핵심기술이자 범용기술로서 경제‧사회 전 분야의 디지털 전환(Digital Transformation)을 촉진시킬 수 있는 기술이다. 빅데이터, 클라우드 등 디지털 기술의 발전과 코로나로 인한 비대면화 등과 맞물려 산업 전반에 걸쳐 AI 도입이 가속화되는 추세다. 

AI 활용은 산업 전반의 생산성을 제고해, AI에 적극적인 선도국가와 후발주자간 생산성 격차가 확대될 것으로 예상된다. 

현재 국내 금융분야는 AI 활용 초기단계로 로보어드바이저, 챗봇, 상품추천, 이상거래탐지, 신용평가 및 여신심사 등에서 활용중이다. 인공지능은 향후 금융산업의 디지털 전환 및 생산성 혁신을 이끄는 주요 기술로서 미래 금융산업의 지형을 근본적으로 변화시킬 것으로 예상되고 있다. 

◆금융기관 인공지능 활용, 제도적으로 여전히 미흡한 상황

반면 금융분야 인공지능 활용 활성화와 관련해 제도는 아직 미비한 상황이다. 현행 금융관련 제도가 AI 관련 내용을 충분히 반영하지 못하고 있다. 구체적으로는 다음과 같다. 

△중소 금융회사 등이 AI를 도입‧활용하기 위해 검토하여야 할 사항 등에 대한 안내 미비하다. 또 △해외 주요국의 경우 소비자 보호를 위해 설명가능한 AI에 대해 활발히 논의 중이나, 국내 금융분야는 관련 검토가 부족하다. 그리고 △AI 개발‧활용에는 외부 API 및 대규모 자원(클라우드컴퓨팅 등) 활용이 필요하나 금융분야는 망분리 등 규제로 인해 활용에 제약이 존재한다. 

더불어 금융분야 AI 활용은 아직 초기단계로 기술의 투명성, 공정성 등에 대한 사회적 신뢰가 충분하지 않은 상황이다. 

예를들어, AI 챗봇 ‘이루다’는 대화시 AI 학습에 활용된 개인정보를 유출하거나, 오염된 데이터 학습으로 여성·장애인·동성애 등에 대한 차별·혐오발언을 해 논란이 발생한 바 있다. 

2021년 7월 ‘금융분야 AI 가이드라인’을 통해 신뢰성있는 AI 서비스 운영을 위한 원칙 등이 마련되었지만, 금융회사 AI 서비스의 신뢰성을 제3자가 객관적으로 검증하는 인프라는 다소 미흡하다. 

◆AI 활성화를 위한 빅데이터 확보 지원 필요해

데이터는 AI의 성능을 결정하는 중요한 요소라는 점에서 양질의 빅데이터를 원활히 활용할 수 있는 환경 구축이 필요하다. 

현재는 신용정보보호법에 따라, 데이터(가명정보) 셋을 구축해도 사용 후 파기(재사용 금지)해야 함에 따라 대량의 데이터 셋 구축‧운영이 곤란한 상황이다. 

예를들어, 신용평가모델 개발 목적으로 데이터 결합을 통해 구축한 가명정보 데이터 셋은 내용상 차주별‧산업별 여신현황 분석 등 타 연구에도 활용가능하지만, 현재는 재사용 금지 규제로 데이터 셋을 새로 구축해 활용해야 한다. 

한편, 데이터 셋 재사용 허용시 개인정보 침해 발생 가능성 등 정보보호 측면을 고려할 필요가 있다. 

즉 재사용을 위해 데이터 셋을 파기하지 않고 보관함에 따른 보안사고 가능성 증가, 다양한 용도로 활용될 수 있도록 최소한의 수준으로만 비식별처리 할 우려 등이다. 

개인정보를 침해하지 않으면서 재사용을 통해 대량의 데이터 셋을 원활히 구축‧활용할 수 있는 환경 마련이 필요하다. 

이에 금융당국은, 규제 샌드박스 등을 통해 데이터 결합 후 데이터 재사용을 허용하는 ‘금융 AI 데이터 라이브러리’ 구축, 이종산업간 데이터 결합‧활용이 활성화될 수 있도록 다양한회사로 구성된 컨소시엄을 통해 라이브러리 구축 등을 위해 우선, 종합신용정보집중기관으로서 개인정보보호에 전문성을 갖춘 신정원을 중심으로 올해 3분기 컨소시엄 구성을 추진중이다. 

라이브러리에 저장된 데이터는 컨소시엄 참여기관이 필요시 인출하여 재사용 가능하도록 한다. 특히 정보유출 등이 발생하지 않도록 고도의 데이터 보호체계를 구축한다는 방침이다. 예를들어, 철저한 물리적 망분리 및 업무분리(Firewall), 접근통제, 각종 보안시스템 운영 등을 포함한 관리적·기술적·물리적 보호체계를 수하고 운영한다는 것이다. 

◆망분리 및 클라우드 규제 개선 시급

특히 AI 활성화를 위한 제도 정립을 위해 망분리 및 클라우드 규제 개선이 필요하다. 

원활한 AI 개발‧활용을 위해서는 외부 API 및 클라우드 활용이 필요하나 보안 규제 등으로 활용이 제한적이다. 

AI 서비스 개발시 다양한 AI 알고리즘 적용 및 검증을 위해 대다수 기업은 개발단계에서 외부의 AI API를 활용중이다. 

하지만 금융회사의 경우 망분리 규제로 인해 외부 API 사용이 제한되어 개발 소요기간‧비용 등이 증가한다. 

그리고 고성능 AI 개발‧활용을 위해서는 클라우드를 통한 대규모 컴퓨팅 자원이 필요하나, 금융회사의 경우 복잡한 이용절차로 인해 클라우드 이용이 원활하지 못한 측면이 있다. 

이에 금융당국은, 전자금융의 보안성 및 안정성은 유지하면서 금융회사의 AI 개발‧활용이 보다 원활토록 망분리 및 클라우드 규제 개선하고 있다. 

외부 API를 보다 원활히 활용가능토록 가명정보 등을 활용하는 개발·테스트 서버에 대해서는 규제 샌드박스 등을 통해 물리적 망분리 예외를 허용하고 있다. 또 오픈소스 접속‧활용 등에 대한 내부기준을 수립‧이행할 것 등 보완조치를 전제로 허용하고 있다. 

그리고 업무 중요도에 따른 클라우드 이용절차 차등화, 클라우드 이용시 사전보고를 사후보고로 전환 등 클라우드 이용절차도 개선중이다. 

◆신뢰받는 인공지능(AI) 활용 환경 구축

한편 금융회사 등의 AI 활용 신뢰성 확보 등을 위해 다양한 테스트용 데이터 및 컴퓨팅 자원을 제공하는 테스트베드 구축이 반드시 필요하다. 

이를 위해 신정원‧금결원‧금보원이 보유한 관련 정보(신정원: 개인‧기업신용정보 등, 금결원: 이체거래내역 등, 금보원: 침해사고 정보 등)를 활용해 관련 AI의 테스트에 활용할 수 있는 데이터 셋을 구축한다. 더불어 보다 다양한 데이터를 테스트에 활용할 수 있도록 중장기적으로 기관간 협업을 통해 타 유관기관 등의 관련 데이터가 결합된 데이터 셋 확충을 추진 중에 있다. 

◆금융분야 AI 보안성 검증체계 구축

보안성도 중요하다. AI 활용시 개인정보 유출, 알고리즘 오작동, 학습데이터 조작 등 위험요소가 크다.  

AI 신뢰성 확보 및 유지를 위해서는 이러한 보안위험이 사고로 이어지지 않고, 위험요소를 사전에 탐지‧검증‧해결할 수 있도록 지원하는 보안관리체계 마련이 반드시 필요하다. 

EU 인공지능법안을 보면, 고위험 AI 시스템 제공자는 지속적으로 AI 시스템의 오류 및 제3자의 악의적 성능변경에 대응토록 의무를 부여하고 있다. 

이에 금융당국은, 금융회사의 자체검증, 금보원 검증을 통해 AI 활용에 따른 보안성을 확인하는 금융 AI 보안성 검증체계를 구축‧운영하고 있다. 

또 금융회사의 자체 보안성 검증에 참조할 수 있도록 보안성 검증 기준 및 방법 등 ‘금융분야 AI 보안 가이드라인’을 마련‧배포하고 있다. 

특히 AI 전문인력 부족 등으로 자체 보안성 검증이 어려운 중소형 금융회사에는 금보원에서 보안성 검증 및 기술 자문 등을 지원한다. 

제3자 검증은 금융보안원이 ‘AI 보안성 검증시스템’을 구축하고 금융회사 등 요청시 해당 시스템을 통해 AI 알고리즘 보안성을 검증할 수 있다. AI 보안성 검증에 필요한 검증 데이터셋, 검증 도구, 컴퓨팅 자원 등을 제공받을 수 있다. 

금융당국은, 국내외적으로 AI 보안성 검증 기술이 아직 연구개발 초기 단계인 점을 감안해 단계적인 검증범위를 확대해 나갈 계획이다. 

◆AI 기술의 활용에 따른 보안위험 사례