오픈뱅킹·클라우드·AI로 혁신 중인 금융권…‘데이터 보안’은 과제

금융 산업이 디지털 전환(DX)과 인공지능 전환(AX)을 동시에 추진하면서 보안 리스크가 빠르게 확대되고 있다. 고객 경험 혁신과 서비스 효율화를 위한 금융권의 혁신 기술 도입이 가속화되는 가운데, 보안 전문가들은 데이터 보호와 거버넌스 구축을 필수 과제로 지목하고 있다.

12일 업계에 따르면 최근 금융권은 오픈뱅킹 API, 서비스형 뱅킹(BaaS), 임베디드 금융, 클라우드 이전(migration), 인공지능(AI) 도입 등으로 혁신의 속도를 높이고 있다.

클라우데라가 11일 개최한 연례 콘퍼런스에서 윔 스투프(Wim Stoop) 제품 마케팅 시니어 디렉터는 "금융권은 데이터 이해도와 활용 역량이 높아 AI 도입에서 가장 선도적인 산업 중 하나"라며 "금융사는 우선 내부 업무에 AI를 도입하는데 실패 시 평판 저하 리스크가 낮기 때문에 다양한 실험과 최적화가 가능하다"고 말했다.

그는 또 "아시아태평양 지역, 특히 경쟁이 치열한 동남아 금융권에서는 내부 문서에 대한 질의응답(Q&A), 상담에 대한 감정 분석, 직원 지원 서비스 등 내부 업무 자동화에서 시작해 점차 외부 고객 서비스로 확장하는 사례가 늘고 있다"고 트렌드를 전했다.

AI 도입을 통한 업무 효율 향상과 같은 혁신이 주는 장점도 있지만, 한켠에서는 보안 전문가들의 우려도 나오고 있다. 보안을 충분히 고려하지 못한 섣부른 변화가 해커의 공격 경로를 급격히 늘리고 있다는 지적이다.

글로벌 보안 기업 카스퍼스키는 최근 발표한 보고서에서 금융권의 이 같은 변화를 '디지털 취약점의 뷔페'라고 표현했다. 오픈 API는 데이터 접근성을 높이지만 침입 경로를 확장시키고, 서비스형 백엔드(BaaS)는 금융사 간 위험을 공유하게 하므로 금융 생태계 전반의 신뢰를 위협한다. 최근 앞다퉈 도입을 추진하는 AI는 업무 효율을 높이지만 외부와의 접점이 생겨 네트워크 보안이 취약해지고 심지어 모델 조작, 합성 사기, AI 피싱 같은 새로운 위협을 불러오기도 한다.

카스퍼스키의 조사에 따르면 2024년 전세계 금융 부문 보안 사고의 42%는 랜섬웨어였고, 24%는 피싱 공격이었으며, 내부 정책 위반 등 인적 오류는 25% 이상을 차지했다. 이미 외부 위협이 심각한 상황이다. 이런 가운데 AI 활용 확대 분위기까지 더해지면서 그간 망분리 정책 덕에 상대적으로 안전했던 국내 금융권도 데이터 보안에 대한 우려를 하고 있다. 

실제 국내 금융권 데이터 유출 사고도 증가 추세다. 금융감독원 집계에 따르면 연간 사고는 ▲2021년 5건(개인정보 유출 약 2만9805건) ▲2022년 1건 ▲2023 5건(약 1만8029건) ▲2024년 4건 등에 이어 2025년에는 11월 현재까지 이미 8건이 집계돼 작년의 2배를 넘어섰다.

글로벌 금융권 의사결정자들도 AI 도입 등에 따른 보안 문제를 고민하고 있다. 최근 클라우데라가 핀엑스트라 리서치와 함께 진행한 조사에 따르면, 전 세계 금융기업의 62%가 외부 생성형 AI 서비스와 자체 구축한 AI 서비스를 혼합 사용하는 '하이브리드 AI'를 도입해 사용 중이지만 97%가 '데이터 사일로(silo)'와 '보안 문제'를 주요 장애 요인으로 꼽았다. 이런 이유에서 응답자의 84%는 통합된 데이터 거버넌스와 보안 프레임워크를 '매우 중요하다'고 평가했다.

아드리안 셰날리에(Adrien Chenallier) 클라우데라 금융 서비스 AI 솔루션 글로벌 디렉터는 "AI 혁신은 신뢰할 수 있는 데이터 거버넌스와 일관된 보안이 뒷받침될 때 가능하다"고 했다.

이처럼 데이터 보안 문제가 지적되는 이유는 AI가 본질적으로 데이터 의존형 기술이기 때문이다. 모델의 학습, 추론, 판단 모두 데이터의 품질과 무결성에 좌우되기 때문에 데이터가 왜곡되거나 유출될 경우 AI의 결과물도 쉽게 오염될 수 있다. 특히 금융기관은 개인신용·거래·자산 정보 등 민감 데이터를 다루므로, AI 모델이 접근하는 데이터에 대한 보안 통제와 접근권한 관리가 필수적이다. 이에 보안 전문가들은 AI 보안의 출발점이 데이터에 있으며, 데이터 보호가 곧 AI의 신뢰 확보로 이어진다고 지적한다.

카스퍼스키는 금융권 데이터 보호를 위해 다음과 같은 전략을 강조했다. 먼저 보유한 전체 인프라를 철저히 평가하는 것부터 시작해야 한다. 기존 프로세스를 검토하며 취약점을 공격자보다 먼저 해결할 수 있는 역량을 갖춰야 한다. 이를 내부 팀이 주도할 수도 있지만 외부 전문가의 참여는 새로운 관점을 제공해 숨은 리스크를 발견하는 데 도움을 준다.

진화하는 공격에 대응할 수 있는 첨단 기술의 도입도 필수적이다. 보안팀이 모든 공격 벡터를 통합적으로 모니터링하고 제어할 수 있는 플랫폼을 구축해야 한다. 신속한 탐지와 빠른 대응이 핵심이며 조직 전체의 보호를 보장할 수 있어야 한다.

위협이 계속 진화하는 만큼 최신 위협 환경에 대한 이해를 유지하는 것도 중요하다. 고급 위협 인텔리전스와 분석을 활용해 보안 전략을 선제적으로 조정해야 한다. 정기적인 인식 교육을 통해 직원들이 피싱을 식별하고, 정책을 준수하며, 1차 방어선 역할을 할 수 있도록 강화해야 한다.

이효은 카스퍼스키 한국지사장은 "기술 발전이 성장을 촉진하지만 동시에 보안 위험에 노출된다는 점을 금융 리더들은 매우 우려하고 있다"고 업계 분위기를 전하며 "이에 생존을 위해서는 적응형, 통합형의 탄력적인 보안 시스템을 구축해 혁신의 속도와 동일한 속도로 방어해야 한다"고 조언했다.

정종길 기자

jk2@chosunbiz.com