금융당국이 AI업체까지 관리·감독…망분리 규제 완화 실효성 있나

(서울=뉴스1) 박동해 기자 = 금융당국이 망분리 규제특례를 적용해 금융사의 외부 생성형 AI(인공지능) 활용을 허용할 방침이다. 하지만 AI 제공업체들이 금융당국의 관리·감독 하에 들어와야 해 서비스 제공업체를 찾기 쉽지 않을 것이란 지적이 나온다.

금융위원회는 지난 13일 규제 샌드박스를 통한 금융사의 생성형 AI 활용 허용을 골자로 하는 '금융분야 망분리 개선 로드맵'을 발표했다.

그동안 국내 금융사에게는 내부 전산망과 외부 인터넷망을 물리적으로 분리해야 하는 '망분리' 규제가 적용돼 외부에서 개발된 생성형 AI 활용이 불가능했다. 이에 금융당국은 샌드박스 신청을 받아 금융사가 생성형 AI를 활용해 가명처리된 개인신용정보까지 처리할 수 있게 하겠다는 방침이다.

문제는 고객의 개인신용정보가 금융사 밖으로 유출되는 만큼 보안 이슈가 발생할 수 있다는 것이다. 현재 관련 사항을 규제할 법률이 존재하지 않는 상황이다.

이에 금융위는 규제 특례기간 동안 금융사가 AI 사업자와 계약을 맺을 때 AI 사업자에게 '관할당국 등에 협조해야 할 의무'를 부과하는 내용을 계약서에 담도록 유도한다는 방침이다.

금융위가 예시로 제시한 협조 의무에는 '금융회사·당국의 접근, 검사, 감사 권한'을 비롯해 '중요문서 사본을 현장에서 가져갈 수 있는 권한', '권한 행사가 다른 계약 내용 등에 의해 제한되지 않을 것' 등이 담겼다.

사실상 금융당국이 여타 다른 계약 내용에 제한을 받지 않고 AI 사업체에 대해 검사나 감사를 할 수 있는 권한이 담길 수 있는 것이다.

AI업계에서는 금융사와 금융당국으로부터 검사·감사를 받게 되는 의무를 지고 계약을 체결하기는 어려울 것이라는 반응이 나온다. AI 업계의 한 관계자는 "(계약 조건에 동의하기) 쉽지 않을 것 같다"라며 "그런 계약 맺으면 회사간 거래 활성화가 어려워지는 요인이 될 것 같다"라고 밝혔다.

더불어 주요 AI 개발사들의 경우 대부분 외국업체로 해외에 서버가 있어 계약 조건을 받아드린다고 하더라도 문제 발생 시 금융당국의 접근이 어려울 것으로 예상된다.

이에 대해 금융당국 관계자는 "예시로 제시된 것이기 때문에 구체적인 내용은 추후 협의를 해나가야 한다"라며 대책 발표 후 AI업계와도 만나서 의견을 들을 것이라고 밝혔다.

한편, 현재는 개인신용정보의 국외 AI업체로의 이전과 관련한 법과 규정이 없지만 금융당국은 유럽연합과 영국 등을 참고해 제도를 만들어 간다는 계획이다.

유럽의 경우 일명 '도라'(DORA, Digital Operational Resilience Act)를 통해 감독기관에 제3자에 대한 직접 조사, 제재 권한을 부여하고 있다. 영국의 경우 주요 제3자가 금융시장법(FSMA)의 요구사항을 위반할 시 금융기관에 서비스 제공 중단 및 계약 체결 금지 등의 요구를 할 수 있다.

potgus@news1.kr