--- title: "AI 해킹 시대, 금융권엔 범정부 보안 컨트롤타워가 필요하다는 경고" published: 2026-06-20T11:05:03.776Z canonical: https://jeff.news/article/4137 --- # AI 해킹 시대, 금융권엔 범정부 보안 컨트롤타워가 필요하다는 경고 한국금융연구원이 AI 에이전트를 활용한 사이버 공격이 금융권 전체로 번질 수 있다며 범정부 금융보안 컨트롤타워가 필요하다고 제안했다. 오픈뱅킹과 마이데이터로 금융사들이 단일 API 인프라에 묶인 만큼, 중소 금융사의 보안 취약점도 전체 업권 리스크가 될 수 있다는 지적이다. - AI 에이전트 기반 해킹이 금융권의 새 골칫거리로 떠오르고 있음 - 한국금융연구원은 ‘미토스 쇼크’를 계기로 AI 에이전트를 악용한 사이버 공격 현실화 가능성이 커졌다고 봄 - 예전에는 해커가 직접 공격 대상과 방법을 골라야 했지만, AI 에이전트는 취약점을 스스로 분석하고 여러 공격 방식을 반복 시도할 수 있음 - 적은 비용으로도 대규모·장기간 공격이 가능해진다는 점이 제일 무서운 포인트임 - 문제는 한국의 사이버 대응 체계가 분야별로 쪼개져 있다는 점임 - 금융사고는 금융위원회, 통신 침해는 과학기술정보통신부, 공공·국방은 국정원과 사이버작전사령부가 맡는 구조임 - 통신망, 금융망, 공공망을 동시에 노리는 공격이 터지면 어디가 지휘하고 누가 먼저 끊을지 애매해질 수 있음 - 그래서 금융보안 사고 초기에 골든타임을 잡을 범정부 통합 컨트롤타워와 공동대응 프로토콜이 필요하다는 주장임 > [!WARNING] > 오픈뱅킹과 마이데이터는 편리한 만큼 연결성이 강함. 한 금융사나 핀테크가 침해되면 다른 회사 계좌 위험으로 번질 수 있다는 게 이 기사의 핵심 경고임. - 앤트로픽 사례는 “AI가 공격자에게만 위험한 게 아니라 방어 실험에서도 이미 강력하다”는 걸 보여줌 - 앤트로픽은 차세대 생성형 AI 모델 클로드 미토스 공개를 준비하다가 사이버 공격 악용 위험이 커서 일반 공개를 보류함 - 이후 보안 연합 프로젝트 글래스윙(Project Glasswing)을 만들었음 - 이 프로젝트는 한 달 동안 50여 개 글로벌 기업과 1천 개 오픈소스 프로젝트에서 1만 개가 넘는 보안 취약점을 발견함 - 국내에서도 AI 보안 대응은 이미 움직이고 있음 - 금융당국은 보안 목적의 AI 사용을 허용하기 위해 망분리 규제를 완화하는 중임 - 보안·AI 역량을 갖춘 금융회사에는 망분리 규제 전면 해제까지 검토하고 있음 - 과기부는 2026년 5월 오픈AI의 글로벌 사이버 신뢰 접근 협의체인 GTAC 참여를 발표했고, 국정원은 AI 기반 보안관제 도입 기관에 가산점을 신설함 - 하지만 망분리 완화는 대형사와 중소형사의 보안 격차를 더 키울 수 있음 - 대형 금융사는 보안 인력과 AI 시스템 구축에 돈을 쓸 수 있음 - 중소 금융사는 비용과 인력 부족 때문에 같은 수준의 대응체계를 만들기 어려움 - 보안 역량이 높은 회사부터 규제를 풀면 디지털 경쟁력뿐 아니라 보안 수준 격차도 벌어질 수 있음 - 오픈뱅킹·마이데이터 환경에서는 작은 구멍도 업권 전체 리스크가 됨 - 모든 금융회사가 단일 API 인프라로 연결돼 있기 때문임 - 기사에서는 이상징후가 감지되면 시스템이 해당 이용기관의 접근토큰을 임시 폐기하는 동태적 위험관리 체계가 중요하다고 봄 - 물리적 망분리 완화도 제로트러스트 체계 도입을 전제로 순차적으로 가야 한다는 입장임 --- ## 기술 맥락 - 이 기사에서 핵심 선택은 물리적 망분리를 계속 고수할지, 제로트러스트를 전제로 점진적으로 완화할지예요. 금융권은 외부 연결을 막는 방식으로 오래 버텨왔지만, AI 보안 도구를 쓰려면 그 방식만으로는 한계가 생기거든요. - 오픈뱅킹과 마이데이터가 중요한 이유는 금융사가 더 이상 독립된 섬이 아니기 때문이에요. 계좌 조회와 이체가 API로 연결돼 있으면, 한 이용기관의 토큰이 털렸을 때 다른 금융사까지 영향이 갈 수 있어요. - 그래서 기사에서 말하는 동태적 위험관리는 꽤 실무적인 얘기예요. 이상징후를 탐지했을 때 사람이 회의해서 차단하는 게 아니라, 시스템이 접근토큰을 임시 폐기해 피해 확산 시간을 줄이자는 거예요. - 범정부 컨트롤타워 얘기도 조직론처럼 보이지만 실제로는 장애 대응 아키텍처 문제에 가까워요. 금융망, 통신망, 공공망이 동시에 맞으면 기술 조치보다 먼저 권한과 의사결정 경로가 병목이 될 수 있거든요. ## 핵심 포인트 - AI 에이전트가 취약점 탐색과 공격 시도를 자동화해 저비용 대규모 공격이 가능해짐 - 금융·통신·공공·국방 대응 체계가 부처별로 쪼개져 있어 복합 공격 때 골든타임을 놓칠 수 있음 - 앤트로픽은 프로젝트 글래스윙으로 한 달간 50여 개 기업과 1천 개 오픈소스 프로젝트에서 1만 개 넘는 취약점을 발견 - 오픈뱅킹·마이데이터 연결 구조에서는 한 기관 침해가 다른 금융사 계좌 위험으로 번질 수 있음 ## 인사이트 AI 보안 이슈가 단순히 ‘모델이 위험하다’에서 끝나는 게 아니라, 금융 API 인프라와 망분리 규제, 제로트러스트 설계까지 한꺼번에 건드리는 문제로 커지고 있음.