질의요지

최근 고성능 AI 모델 등장으로 고도화된 금융권 사이버 위협에 대응하기 위해 「보안 목적 AI‧SaaS* 활용 테스트(「AI 보안위협 대응 방안('26.5.)」, 금융위원회)」에 참여기관으로 선정된 금융회사에 한하여 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차) 및 동규정 **제15조 제1항제5호(망분리 의무)**를 예외할 필요

* ① SaaS형 생성형 AI 서비스(GPT, Claude, Gemini 등) ※ 보안 분석·위협 탐지 목적 限
** ② SaaS형 보안 서비스(Falcon, SentinelOne, Splunk 등 EDR/XDR/SIEM)

회답

□ 「보안 목적 AI‧SaaS 활용 테스트」 참여기관으로 선정된 금융회사가 아래 망분리 대체 통제를 적정하게 이행한 경우에는 테스트 신청범위에 한정하여 전산실 내 정보처리시스템과 해당 정보처리시스템의 보안 목적으로 직접 접속하는 단말기를 보안 강화 목적 AI‧SaaS형 보안 서비스와 직접 연결하더라도 테스트 참여기관 선정일로부터 1년까지 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차) 및 동규정 제15조 제1항제5호(망분리 의무) 위반으로 조치하지 않습니다.

망분리 대체 통제 (보안 목적 AI·SaaS)
  • 국내외 클라우드 보안인증 중 1개 이상 보유 서비스만 이용가능
    (① SOC2, ② FedRAMP, ③ ISO27017, ④ CSAP, ⑤ MTCS, ⑥ ISMS-P, ⑦ CSA STAR level2 이상)
  • 금융회사의 정보처리 업무 위탁 규정 준수
  • 생성형 AI 서비스의 경우 유료 비즈니스 등 관리형 버전 이용(미학습 약정 필수)
  • AI·SaaS 서비스 관련 보안사고 및 장애 대응 절차 수립
  • 허용된 AI·SaaS 외 인터넷접속, 외부 API, 제3자 앱 등 외부 연계 통제
  • API Key, 관리자 계정 등 주요 인증정보에 대한 보호·점검 및 관리절차 수립
  • 접속 단말기 및 사용자·관리자 등록·관리, AI·SaaS 관리자 계정 등 다중 인증 방식 적용, 최소 권한 부여 등 접근 제어 및 권한 관리, 단말기 보호대책 수립·적용
  • 개인신용정보, 고유식별정보 등 중요정보 입력·처리·외부전송·유출 여부 모니터링 및 통제
  • AI·SaaS 내 데이터의 불필요한 공유·처리 방지
  • AI·SaaS 이용을 위한 네트워크 구간에 대한 보호대책(암호화 등) 수립·적용
  • AI·SaaS 정보보호 통제를 위한 상시 관리·체계 확보
  • 접속·이용 내역, 관리자 활동, 이상행위 등에 대한 모니터링 및 로그 수집 (1년 이상 보존)

이유

□ 금융회사는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 이용절차 등을 준수해야 하고(「전자금융감독규정」 제14조의2), 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리하여야 합니다(「전자금융감독규정」 제15조제1항제5호).

◦ 다만, 상기 규정의 취지가 사이버 위협으로부터 금융전산을 보호하는 것에 있고, 최근 고성능 AI 모델로 인한 고도화·지능화된 사이버 위협에 대해 정부 및 유관기관 협조 하에 신속하고 효과적인 대응 방안을 마련하고자 「보안 목적 AI‧SaaS 활용 테스트」에 참여하는 금융회사에 대해서는 상기 의무를 예외적으로 적용할 필요성이 인정됩니다.