(사진=로이터, 연합뉴스)
연구원은 해외 사례를 소개하며 AI를 이용한 사이버공격이 이미 일반화됐다고 평가했다. 지난해 중국에서 해킹그룹이 클로드 코드를 이용해 약 30개 글로벌 기관에 침투해 데이터를 탈취한 사례가 적발됐다. 일본에서는 17세 청소년이 AI를 이용해 인터넷카페 이용자 개인정보 700만건을 탈취한 사건도 발생했다.
특히 올해 4월 미국 앤트로픽사에서 개발한 차세대 생성형 AI 모델 ‘클로드 미토스’가 악용될 수 있다는 분석이 나오면서 금융권 대응 역량이 중요해진 상태다. 미토스는 약 50여개 글로벌 기업 및 1000여개 오픈소스 프로젝트에서 한 달간 1만개가 넘는 치명적 보안 취약점을 발견했다. 정식 출시에 앞서 진행한 테스트 과정에서 이 같은 문제가 드러나자 앤트로픽사는 미토스 일반 공개를 보류했다.
AI 사이버공격이 고도화할 경우 금융권이 입는 피해는 커질 수밖에 없다는 우려가 나온다. 이와 관련해 국제통화기금(IMF)은 “지금처럼 금융권이 소프트웨어나 클라우드, 결제 인프라 등을 공유하는 상황에서 취약점이 발견되면 복수의 금융사가 동시 타격 입을 수 있다”면서 “사이버리스크가 점차 시스템리스크 성격을 갖게 될 것”이라고 경고했다.
현재 AI 공격 대응은 금융위, 과학기술정보통신부, 국가정보원 등 부처가 각각 수행 중이다. 연구원은 이를 하나로 묶는 ‘범정부 통합 보안 컨트롤타워’를 세우고 공동대응 방침을 구상해야 한다고 제안했다. 금융망, 통신망, 공공망 등을 동시에 공격하는 사고가 발생하면 대응이 늦어질 수 있기 때문에 이를 총괄 대응할 컨트롤타워가 있어야 한다는 설명이다. 미국은 CISA, 영국은 NCSC, 일본은 국가사이버총괄실을 각각 컨트롤타워로 두고 AI 공격을 대응 중이다.
아울러 금융위가 AI를 보안에 활용하자는 차원에서 대형 금융사 한정으로 망분리 규제를 한시적으로 완화했는데 이를 중소형 금융사로 순차 확대해야 한다는 지적도 나온다.
연구원은 “대형 금융사와 중소형 금융사 간 금융보안 및 IT 경쟁력 격차가 벌어질 수 있다”면서 “모든 금융사는 오픈뱅킹과 마이데이터를 통해 연결되어 있어 중소형 금융사의 보안도 중요하다”고 설명했다.
그러면서 “최신 트렌드와 기술을 응용해 보안 솔루션을 제공할 금융보안원도 망분리 규제를 받고 있으므로 연구 목적에 한해 완화할 필요가 있다”고 덧붙였다.
