법무법인(유) 화우

금융위, ‘프런티어 AI 보안위협 금융분야 대응요령’ 가이드라인 AI 보안테스트·패치 ‘제재 면책’ 등 도입

  • 뉴스레터
  • 2026.07.06

금융위원회는 2026. 7. 1.  「프런티어 AI 보안위협 금융분야 대응요령」 가이드라인을 배포하였습니다. 아울러 2026. 6. 30. 면책심의위원회 의결을 통해, 금융회사가 보안목적 AI를 활용한 보안테스트당국이 전파한 취약점에 대한 긴급 보안패치를 수행하는 과정에서 발생한 경미한 전산장애에 대하여 기관·임직원 신분제재 및 과태료를 면책하기로 하였습니다.

 

이번 조치는 앤트로픽社 ‘미토스(Mythos)’ 시스템 카드와 글래스윙 프로젝트 중간 결과로 촉발된 이른바 ‘미토스 쇼크’에 대응한 것으로, 지난 5. 22. 고성능 AI 보안위협 대응 간담회의 후속조치입니다. 취약점 발견이 급증하는 환경에서 금융회사가 전산장애를 우려해 보안강화 조치를 주저하지 않도록 유인하는 데 목적이 있습니다.

 

금융회사로서는, ① 면책은 무조건 적용되지 않고 면책대상·요건이 특정되어 있으며, ② 면책을 받으려면 사전 작업계획서(경영진 보고)·소비자 사전안내·피해구제 방안을 미리 갖추어야 하고, ③ 개인신용정보 유출사고는 면책 대상에서 제외된다는 점을 유념하여 관련 조치를 취해야 하겠습니다.

 


1. 무엇이 바뀌었나 - 면책조치와 가이드라인의 동시 도입

2. 면책의 구조 - ‘누가·무엇을·어떤 조건에서’ 면책되는가

3. 가이드라인 6대 분야와 금융 업권별 우선순위


 

1. 무엇이 바뀌었나 - 면책조치와 가이드라인의 동시 도입
 

이번 방안은 성격이 다른 두 축으로 구성됩니다. 하나는 실제 제재 여부에 영향을 미치는 ① 면책조치(구속력 있는 규제 완화)이고, 다른 하나는 준수 여부가 제재와 무관한 ② 가이드라인(모범사례)입니다. 두 축을 혼동하면 대응 우선순위를 잘못 잡을 수 있으므로 성격을 명확히 구분할 필요가 있습니다.

 

 

① 면책조치의 개요

 

의결: 금융위원회 면책심의위원회가 2026. 6. 30. 심의·의결하였습니다.

 

취지: 보안목적 AI를 통한 공격표면 점검·취약점 확인, 확인된 취약점에 대한 보안패치 과정에서 발생하는 경미한 전산장애 리스크를 과도하게 의식하지 않도록 하는 데 있습니다.

 

면책범위: 기관·임직원에 대한 제재·신분제재와 과태료를 포괄합니다.

 

② 가이드라인의 개요

 

명칭·발간: 「프런티어 AI 보안위협 금융분야 대응요령」(버전 1.0), 금융보안원, 2026. 7. 1. 제정·시행.

 

성격: 행동요령·모범사례를 제시하기 위한 것으로, 준수하지 않더라도 제재 등 불이익이 부과되지 않습니다(비규제적).

 

갱신: 1~3차 보안목적 AI 테스트 결과 등을 반영하여 지속 업데이트될 예정이며, 개정 내용은 금융보안원 홈페이지에서 확인할 수 있습니다.

 

 

2. 면책의 구조 - ‘누가·무엇을·어떤 조건에서’ 면책되는가

 

면책은 포괄적 면죄부가 아닙니다. 면책대상(행위·기관), 면책요건(3종), 면책범위, 그리고 명시적 배제사유가 각각 특정되어 있습니다.
 

 

✓ 반드시 확인할 배제사유 및 불확실 영역

 

① 개인신용정보 유출 : 「신용정보법」에 따른 개인신용정보 유출사고가 발생한 경우에는 이번 면책조치와 관계없이 동법에 따른 제재조치가 그대로 적용됩니다. 면책의 ‘고객정보 유출 1만건 미만’ 기준에서도 개인신용정보는 명시적으로 제외됩니다.

 

② 대상기관 한정 : 보안목적 AI활용 테스트 진행 시 면책대상 기관이 ‘26. 5. 22. 발표한 망분리 규제완화 테스트 선정기관 및 금융보안원 AI 취약점 점검(Blackbox 방식) 대상기관으로 특정되어 있으므로, 자사가 대상에 포함되는지 우선 확인이 필요합니다.

 

③ 세부 운영기준 : 면책요건은 ‘경미성·신속 복구·소비자 보호 여부를 종합적으로 고려할 예정’이라고 밝히고 있어, 개별 사안에서의 구체적 판단기준과 실제 면책 운영 방향은 추가 확인이 필요합니다. 아직 관련 면책·적용 사례가 축적되지 않은 점도 함께 고려하여야 합니다.

 

 

3. 가이드라인 6대 분야와 금융 업권별 우선순위

 

가이드라인은 6개 분야로 구성됩니다. 미준수 시 제재는 없으나, 이는 향후 감독당국이 참조하는 사실상의 기대 수준으로 기능할 가능성이 있습니다. 각 분야의 실무 초점은 다음과 같습니다.

 

 

 

동일한 가이드라인이라도 금융 업권의 시스템 구조와 규제 접점에 따라 우선순위가 달라집니다. 아래는 대표 업권별 확장 매트릭스입니다(개별 회사의 시스템·자산 구성에 따라 달라질 수 있으므로 사안별 검토가 필요합니다).

 

 

 

법무법인(유한) 화우는 금융규제·정보보호·TMT/AI 분야에서 통합적 자문을 제공합니다. 금융회사의 전자금융감독규정·신용정보법·개인정보보호법 준수 자문, AI 활용에 따른 규제 리스크 진단, 정보보호 거버넌스 및 침해사고 대응 자문을 아우르며, 이번 면책조치, 가이드라인 제시와 같은 감독당국 정책 변화에 대한 신속한 실무 대응을 지원합니다.

 

가이드라인에서 언급한 바와 같이 최근 AI보안 위협이 금융회사 등의 신뢰, 업무 연속성, 규제 준수 등 경영 전반에 영향을 미치는 사항이 되어가고 있는 만큼, AI보안위협 대응, 금융보안에 있어 최종책임자인 이사회, CEO 등 경영진 중심의 전사적 대응이 필수적입니다. 이번 면책조치, 가이드라인은 향후 CEO 및 이사회의 금융보안 역할 강조, CISO의 실질적 권한 강화 등 디지털 운영 복원력 중심으로 금융보안 거버넌스 구조를 전환해 나가는 국내외 제도 개선 방향과도 맞물려 있습니다.

 

저희 법인은 이러한 금융보안 정책·감독 방향 등을 종합 고려하여 금융회사가 프런티어 AI 보안위협 대응 과정에서 마주하는 면책 요건 충족 여부 검토, 작업계획서·소비자 보호절차 정비, 공급망(위탁·제3자) 계약상 보안의무 설계, 개인신용정보 유출 시 제재 리스크 평가 등 실무 밀착형 자문, 나아가 AI보안위협 대응 관련 이사회·CEO 보고 방안, CISO직속 대응반 구성·운영 등 관련 실효성있는 CISO 업무 추진 방안 등 금융보안 거버넌스 구축 차원의 종합자문을 병행 제공합니다.

 

관련 분야
#금융 ∙ 자본시장
#TMT
#정보보호센터
#AI센터