금감원, 금융사 AI 위험관리 기준안 마련… 사내 의사결정 기구 둬야

금융감독원은 통합 AI 가이드라인 구축과 함께 별도로 거버넌스와 위험 평가, 통제를 포함한 AI 위험관리 프레임워크를 마련한다.

박우영 금융감독원 디지털혁신팀 선임은 20일 서울 여의도에서 열린 ‘피스콘(FISCON)2025’ 강연에서 “통합 AI 가이드라인은 금융 AI 7대 원칙을 토대로 구성될 것”이라며 “거버넌스 원칙, 합법성 원칙, 보조 수단성, 신뢰성, 금융 안정성, 신의성실의 원칙, 보안성 원칙의 세부 사항들을 반영한 내용을 통합 AI 가이드라인에 마련 포함시키고자 작업 중”이라고 밝혔다. 

박 선임은 “해당 작업은 금융위원회, 금융감독원, 금융보안원, 신용정보원 등이 공동으로 진행 중이며 발표 시점은 금융당국이 조율 중”이라고 말했다.

금감원은 통합 가이드라인과 별개로 위험 관리 중심의 표준 AI 위험관리 프레임워크도 마련하고 있다. 박 선임은 “AI 사고와 위험이 증가하고 있는데 아직까지는 한국의 금융회사들은 관련된 체계를 제대로 갖추지 못한 상황”이라고 설명했다.

금감원이 마련중인 AI 위험관리 프레임 워크는 ▲거버넌스 ▲위험 평가 ▲위험 통제로 세 가지 축으로 구축된다.

거버넌스 단계에서는 금융회사 내 AI 의사결정 기구를 두고, AI 관련 정책과 지침을 마련할 수 있도록 하는 체계를 요구한다. 

위험 평가는 해외 사례와 동일하게 위험 인식, 경감 계획 수립, 평가, 위험 등급 확정 순서를 따른다. 평가 기준은 금융당국이 발표한 금융 AI 7대 원칙 중 ‘합법성 원칙, 신뢰성 원칙, 심리 성질의 원칙, 보완성 원칙’을 토대로 정량화한다.

위험 경감 조치를 반영한 뒤 남은 위험 점수를 합산해 최종 등급을 정하는 방식 등이 제시됐다. 박 선임은 “잔여 위험 점수를 합산해 예를 들어 50점이 넘으면 고위험 서비스로 분류하는 방안도 고민할 수 있다”고 설명했다.

위험 통제는 위험 등급에 따라 차등 관리를 적용하는 방식이다. 박 선임은 “고위험 AI의 경우 점수와 무관하게 고위험으로 분류하거나, 최고 의사결정 기구에서 출시 여부를 검토하도록 하는 방안도 고려할 수 있다”며 “출시 이후 운영 모니터링, 사후 관리, 문서화·기록관리, 정보 규칙 준수 등도 위험 통제에 포함될 수 있다”고 덧붙였다.

금감원은 이 기준을 마련할 때 내년 1월 시행될 AI 기본법과의 정합성을 반영할 계획이다. 박 상무는 “초안을 공개해 드리기 전에 이런 내용들을 좀 더 검토하고 안내드릴 수 있도록 하겠다”고 말했다.

AI 위험관리 프레임워크 공개 시점과 관련해서는 올해 안에 초안을 먼저 공개하고 금융회사 등 이해관계자의 의견을 받는 절차가 진행될 수도 있다고 밝혔다. 최종 도입 시기와 방식은 금융위원회 논의를 거쳐 확정될 예정이다.

또 이번 프레임워크가 금융권에 법적 의무로 강제되는 규제는 아니라는 점도 분명히 했다. 금감원은 기존 AI 관련 가이드라인과 동일하게 ‘참고 자료·모범 사례 형태로 제시하는 기준’이라고 설명했다.

다만 AI 관련 상품·서비스를 도입하는 과정에서 최소한의 활용 기준이 필요한 만큼 각 금융사는 조직 규모·전담 인력·AI 도입 범위에 따라 자체 실정에 맞게 수정해 적용할 수 있다고 밝혔다. 

한재희 기자
onej@chosunbiz.com