4시간 전
[김소영의 이코노믹스] 보안의 최고 방패 ‘망분리’, 혁신의 장벽으로 전락
2026.07.03 00:12
한국 디지털 금융의 발전사와 남은 과제
디지털 금융은 지난 10여년 동안 급속히 성장해왔다. 2013~2015년은 정보기술(IT)과 금융의 융합이 처음 논의되고 핀테크 개념이 처음 등장한 태동기라 할 수 있다. 발전기인 2015~2017년은 공인인증서 의무 사용 폐지, 인터넷 은행 설립, 비대면 실명인증 도입 등이 핀테크와 금융산업 성장에 결정적인 역할을 했다. 성숙기인 2017~2019년에는 금융혁신지원특별법이 제정되고 핀테크 사업예산이 마련되는 등 예산과 제도가 구축됐다. 2020~2023년은 고도화가 진행된 시기로 금융규제 샌드박스, 마이데이터 서비스, 오픈 뱅킹 플랫폼, 핀테크 혁신펀드 등이 도입됐다. 2024년부터는 AX(AI transformation), 즉 AI 전환의 시대에 접어들었다. 금융권 AI 플랫폼 구축, AI 가이드라인 정비, 망분리 규제 개선 등이 진행되고 있다.
국민의 일상 바꾼 간편 결제·송금
또 다른 대표사례는 오픈뱅킹과 마이데이터다. 오픈뱅킹이란 하나의 앱에서 여러 은행의 계좌를 조회하고 이체까지 할 수 있게 한 제도다. 한국은 금융결제망 개방을 통해 핀테크 기업들이 각 은행과 표준화된 API(응용 프로그램 인터페이스, Application Programming Interface) 방식으로 한 번에 연결될 수 있는 환경을 제공했다. 오픈뱅킹 개념 자체는 영국이 2018년 먼저 시작했고 호주도 2019년부터 법제화했으나 확장속도가 느리며, 미국과 일본도 진행이 지지부진하다. 반면 국내 오픈뱅킹은 출범 2년 만에 순 가입자 3000만명, 순등록계좌 1억개를 달성하며 전 국민이 사용하는 핵심 금융 인프라로 자리매김했다. 현재 은행을 넘어 증권·카드·보험 등 전 금융업권이 참여해 금융회사와 핀테크기업 모두 다양한 혁신서비스를 출시하는 공정한 생태계로서 금융산업의 혁신과 변화를 견인하고 있다.
이러한 오픈뱅킹을 발판으로 한 걸음 더 나아간 것이 마이데이터다. 마이데이터란 여러 은행·카드사·보험사에 흩어져 있던 내 금융정보를 본인이 동의하면 하나의 앱으로 모아서 관리할 수 있게 하는 제도다. 2022년 1월 API 기반 마이데이터 서비스가 전면 시행됐는데 2025년 12월 말 기준 가입자는 중복 포함 무려 1억 7949만 명, 일평균 API 전송 건수는 8억 5000만 건, 누적 1조 2417건에 이른다. 흩어진 본인 정보를 통합 관리하고 전체 자산 현황을 한눈에 파악하면 효율적인 금융 의사결정에 도움이 되고 AI 분석을 통한 맞춤형 금융 상품 추천도 가능하다.
망분리 규제란 금융기관·공공기관의 업무용 컴퓨터와 인터넷을 완전히 분리하도록 강제하는 보안 규제다. 냉전 시대 때 군사·정보 기관이 기밀 네트워크를 보호하기 위하여 시작한 개념으로, 사이버 공격 등을 막기 위해 도입되었다. 2003년 1월 25일 디도스(DDoS) 공격으로 인터넷 대란이 일어난 후 2007년 공공기관 망분리 규제가 도입되었다. 2013년 3월 20일 동시다발적으로 발생한 사이버 공격으로 농협·신한은행 등 대형 금융기관 전산망이 마비되는 사고가 일어난 후 2014년 금융기관에도 망분리 규제가 도입되었다.
AI 격차, 금융산업에선 더 커
이전에는 망분리 규제가 효과적인 규제라는 생각이었다. 예를 들어, 2017년 5월 12일 워너크라이 랜섬웨어가 150개국 20만여 대의 컴퓨터를 감염시키고 40억 달러에 이르는 피해를 입히며 전 세계를 강타했다. 하지만 국내 금융권에서는 망분리 규제로 악성코드가 들어올 경로 자체가 없었기 때문에 피해가 없었다. 하지만 이후 디지털 금융이 더욱 발전하면서, 특히 AI가 등장하면서, 이러한 평가는 급변하였다. 망분리 규제로 인해 한국 금융기관은 AI·클라우드 등을 적극 활용할 수 없게 되었다. 보안을 위한 최고의 방패라고 여겼던 망분리 규제가 혁신에 대한 장벽이 된 것이다.
이미 많은 사람이 AI를 일상적으로 활용하는 시대에, AI를 자유롭게 쓰는 기업과 그렇지 못한 기업의 생산성 차이는 상당할 것이다. 특히 디지털 기술 적용이 빠른 금융산업에서 그 격차는 더 크다. 세계화된 금융 시장에서, 외국 금융기관들은 AI를 자유롭게 활용하는데 한국만 제약이 크다면 그 경쟁의 결과는 불 보듯 뻔하다.
금융 당국도 이러한 문제를 인식하여 2024년 8월 13일 단계적으로 금융 회사의 생성형 AI 활용을 허용하고 클라우드와 같은 서비스형 소프트웨어(SaaS; Software as a Service) 이용 범위를 확대하며 연구개발 환경을 적극 개선한다는 내용의 금융분야 망분리 개선 로드맵을 발표하였다. 2024년 11월 샌드박스를 통해 생성형 AI를 활용한 혁신금융 서비스를 지정하기 시작했고, 2026년 4월 일정한 보안 규율을 준수하면 금융회사가 내부 업무망에서 SaaS를 이용할 수 있도록 했다.
망분리로 보안기술 수준 더 낮아져
하지만 아직 갈길이 멀고 향후 더 많은 노력이 필요하다. 첫째, 사이버 보안기술 발전이 시급하다. 망분리 규제를 완화하려면 망분리 없이도 사이버 공격 등을 막을 수 있는 기술이 필요한데, 그동안 망분리 자체로 보안이 유지되다보니 보안기술을 개발할 유인이 없어 그 수준이 낮아졌다는 문제가 있다. 금융 당국도 이러한 문제를 인식하여 자율보안 원칙 중심의 새로운 법과 체계를 구축하려 하고 있고, 보안을 목적으로 AI와 SaaS를 활용하는 경우 망분리 규제를 긴급히 완화하여 ‘AI를 AI로 방어하는’ 고도화된 보안체계 구축을 지원하고 있다. 10여년간 손대지 않았던 보안기술을 당장 개발, 적용하기 쉽지 않으므로 더욱 전폭적인 지원이 필요하다.
둘째, 금융회사 자체의 더 많은 노력이 필요하다. 금융회사가 AI를 제대로 활용하기 위해서는 경영·영업·개발·보안 시스템 등을 전면적으로 변경해야 하고, 이러한 총체적인 시스템 전환과 보안기술 개발, 적용에는 상당한 비용과 노력이 든다. 하지만 주식시장 활황, 지속적인 신용 증가 등으로 많은 수익을 거두고 있는 금융회사들이 현 상태에 안주해 적극적으로 나서지 않는 경향이 있다. 실제로 많은 금융회사가 AI 직접 개발·활용 대신 부분적으로 외주를 주는 경향이 있다. 하지만 이런 방식으로는 체계적인 시스템 전환이 어려워 시간이 지날수록 한국 금융회사의 경쟁력이 저하될 가능성이 크다.
마지막으로 공공 부문의 망분리 규제에 대해서도 숙고해봐야 한다. 공공 부문도 국가망보안체계(N²SF)를 바탕으로 데이터 중요도에 따른 차등 적용 등 완화를 추진하고 있으나, 좀 더 속도감 있고 구체적인 실행 방안이 필요하다는 목소리도 있다. 물론 국가적으로 중요한 정보와 기밀이 있는 부문에서는 망분리 규제가 필요하다. 하지만 그렇지 않은 부분에서는 모든 개인과 기업이 AI를 전면적으로 활용하는 시대에 망분리 규제에 막혀 있는 정부가 제대로 된 역할을 하는 데 어려움이 있을 수 있다.
김소영 서울대 경제학부 교수·전 금융위원회 부위원장
저작권 보호를 위해 본문의 일부만 표시됩니다.
원문 보기 →댓글 (0)
첫 번째 댓글을 작성해보세요!
번호 추천의 다른 소식
모든 소식을 불러왔습니다
