NetSec-KR 2024, ‘금융AI보안’ 세션...AI 시대, 규제와 적용 사이에서 적절한 조화 필요
신한은행 이영수 셀장, 금융보안원 송은지 수석, 김앤장 법률사무소 강성윤 변호사 발표
[보안뉴스 김영명 기자] ‘제30회 정보통신망 정보보호 컨퍼런스(NetSec-KR)’가 서울 서초구 더케이호텔에서 4월 24일~25일 이틀에 걸쳐 진행된다. 올해 NetSec-KR 2024의 주제는 ‘디지털 패권 시대, AI와 함께하는 미래보안-기술의 진화와 사이버 안전보장’이다. 행사 첫날 오후, 더케이호텔 거문고C홀에서는 ‘금융AI보안’ 세션이 진행됐다.
▲NetSec-KR 2024에서 ‘금융AI보안’ 세션이 진행되고 있다[사진=보안뉴스]
김앤장 강형우 위원을 좌장으로 한 ‘금융AI보안’ 세션에서는 신한은행 이영수 셀장이 ‘금융권 AI의 FDS 적용 사례와 이슈’를, 금융보안원 송은지 수석이 ‘AI시대 디지털 금융 위협과 과제’에 대해, 그리고 김앤장 법률사무소 강성윤 변호사가 ‘금융 AI 주요 규제 및 이슈’를 주제로 발표했다. 좌장을 맡은 김앤장 강형우 위원은 “금융산업은 대표적인 규제산업인 만큼 다른 산업에 비해 AI 도입이 활성화되지 않고 있지만, 금융권에서도 다양한 노력을 기울이고 있다”고 강조했다.
▲신한은행 이영수 디지털혁신단 셀장은 ‘금융권 AI의 FDS 적용 사례와 이슈’를 발표했다[사진=보안뉴스]
먼저 신한은행 디지털혁신단 이영수 셀장은 ‘금융권 AI의 FDS 적용 사례와 이슈’에 대해 발표했다. 이영수 셀장은 “어노멀리 시스템(Anomaly System, 이상탐지 시스템)을 어렵게 생각하는 것은 외부에 알려져 있지 않고, 패턴화되기가 힘들기 때문”이라며, “금융권에서는 FDS(Fraud Detection System, 이상거래탐지시스템)를 중심으로 보안 위협에 대응하고 있다”고 말했다.
이영수 셀장은 금융보안의 주요 이슈로 Unknownness(미상), Class Imbalance(클래스 불균형), Heterogeneous(불균질), Diverse types(다양한 유형) 등을 꼽았다. 이 셀장은 “금융권의 이상 탐지 방법론은 ‘Supervised(지도학습)’와 ‘Semi-Supervised(준-지도학습)’, ‘Unsupervised(비지도학습)’ 등 3가지로 구분할 수 있다”며 “신한은행은 이상거래에 대한 고급 접근방식으로 ‘시퀀스 베이스드 Anomaly’와 ‘그래프 Anomaly’를 통해 대포통장 등 보이스피싱 사기로 악용되는 것에 대한 사전대응 방법으로 활용한다”고 소개했다.
이영수 셀장은 “FDS에 대한 AI 적용 효과를 살펴보면 관리자에 의한 모니터링 대상 건수는 현저하게 감소했으며, 효율과 성능은 높아졌다는 것을 확인했다”며 “금융권 AI는 설명 가능하고 이해 가능한 것이 핵심이지만, AI 적용 업무를 보다 개선하기 위해서는 레이블 확보가 가장 중요하다”며 말을 마쳤다.
▲금융보안원 AI기술팀 송은지 수석이 ‘AI시대 디지털 금융 위협과 과제’를 주제로 발표했다[사진=보안뉴스]
다음으로 금융보안원 AI기술팀 송은지 수석이 ‘AI시대 디지털 금융 위협과 과제’를 주제로 발표했다. 송은지 수석은 “최근 챗GPT를 필두로 시작된 생성형 AI 시대에서 AI 리스크를 살펴보면 ‘AI의 위험 유형’은 프라이버시, 보안성, 투명성·설명가능성, 공정성, 안정성·성능, 제3자 위험 등이 있고, ‘AI 위험 발생 가능 영역’은 데이터, 모델 선택 및 훈련, 배포·인프라, 계약·보험, 법률·규제, 조직·문화 등으로 다양하게 구분되고 있다”고 말했다. 전통적인 보안과 AI시대 보안의 차이점은 대용량 입력 데이터, 학습 데이터의 가공 여부로 구분할 수 있다.
AI 적대적 공격은 회피 공격과 데이터 오염 공격, 모델 추출 공격 및 모델 역전 공격 등으로 나눌 수 있다는 게 송 수석의 설명이다. 또한 생성형 AI를 악용하는 공격은 가짜뉴스와 딥페이크, 스팸 메일과 피싱 공격 등이 있다. 적대적 예제로는 챗GPT의 탈옥을 통한 활용, 저작권 보호 우회, 편견 또는 편향 금지 우회 등이 있고, 최근 보고된 원격명령 실행 취약점과 같은 전통적 취약점도 생성형 AI 공급망에 대한 위협 중 하나라는 것이다.
송은지 수석은 “악용으로 인한 AI 위협에는 AI로 대응할 필요가 있지만, 캡차와 같이 사람과 상호작용이 중요한 작업의 경우 사람의 능력치 이상으로 경쟁하기 어려워 이때는 대안 수단에 대한 폭넓은 고민이 필요하다”며 “생성형 AI 모델의 유연함이 보안 위협으로 불거지는 만큼 다양한 위협을 분류하고 위협별로 특화된 AI 모델로 대응하는 것이 효과적”이라고 강조했다.
이어 ”금융분야에서 AI 보안 위협에 대응하기 위해 개별 기관이 보유한 정보를 직접 공유하지 않고도 협력해 AI 모델을 개발할 수 있는 분사 학습 기술인 연합학습 모델을 추진하고 있다“며 ”이를 통해 이상금융거래, 자금세탁방지 등 정보공유가 어려운 영역에서 금융회사의 정보 노출을 최소화하면서 AI 개발 및 활용이 가능할 것“이라고 설명했다.
▲김앤장 법률사무소 강성윤 변호사는 ‘금융 AI 주요 규제 및 이슈’를 살펴봤다[사진=보안뉴스]
마지막으로 김앤장 법률사무소 강성윤 변호사는 ‘금융 AI 주요 규제 및 이슈’를 살펴봤다. 강성윤 변호사는 “국내는 아직 AI와 관련한 특별한 법안이 없기 때문에 명확한 규제는 없다”며 “기술은 발전하는데 법률이 뒷받침하지 못하고 있다”고 말했다. 이어 “현재는 금융당국과 금융보안원, 개인정보보호위원회의 가이드라인에 주목하는 것이 중요하다”고 말했다.
금융당국은 2022년 8월에 ‘금융분야 AI 개발 활용 안내서’를, 2023년 4월에는 ‘금융분야 AI 보안 가이드라인’을 발표했다. 또한 개인정보위는 올해 공개된 개인정보 활용, 이동형 영상기기, AI 투명성 확보, 생체인식정보·합성데이터 활용 관련 가이드라인을 발표할 예정이다.
강성윤 변호사는 “다양한 가이드라인의 핵심 내용이 금융권의 주요 부서와 임직원들에게 정확히 전달돼 업무로 원활하게 연결되는 게 중요하지만, 이를 적용하기에는 아직 혼란스러운 부분이 많아 실제 은행과 고객에게 필요한 것이 무엇인지 선별하는 일이 중요하다”고 강조했다.
마지막으로 강 변호사는 “금융권 AI 보안을 지키는 기본은 개발 단계에서부터 ‘안전’을 중심에 두는 것”이라며 “기업과 조직에서 Secure by Design을 중요하게 생각하고, 가이드라인을 토대로 기획부터 운영의 전 과정에 이르기까지 AI의 안전한 라이프사이클 체계를 갖춰야 한다”고 말했다.
[김영명 기자(boan@boannews.com)]
신한은행 이영수 셀장, 금융보안원 송은지 수석, 김앤장 법률사무소 강성윤 변호사 발표
[보안뉴스 김영명 기자] ‘제30회 정보통신망 정보보호 컨퍼런스(NetSec-KR)’가 서울 서초구 더케이호텔에서 4월 24일~25일 이틀에 걸쳐 진행된다. 올해 NetSec-KR 2024의 주제는 ‘디지털 패권 시대, AI와 함께하는 미래보안-기술의 진화와 사이버 안전보장’이다. 행사 첫날 오후, 더케이호텔 거문고C홀에서는 ‘금융AI보안’ 세션이 진행됐다.
▲NetSec-KR 2024에서 ‘금융AI보안’ 세션이 진행되고 있다[사진=보안뉴스]
김앤장 강형우 위원을 좌장으로 한 ‘금융AI보안’ 세션에서는 신한은행 이영수 셀장이 ‘금융권 AI의 FDS 적용 사례와 이슈’를, 금융보안원 송은지 수석이 ‘AI시대 디지털 금융 위협과 과제’에 대해, 그리고 김앤장 법률사무소 강성윤 변호사가 ‘금융 AI 주요 규제 및 이슈’를 주제로 발표했다. 좌장을 맡은 김앤장 강형우 위원은 “금융산업은 대표적인 규제산업인 만큼 다른 산업에 비해 AI 도입이 활성화되지 않고 있지만, 금융권에서도 다양한 노력을 기울이고 있다”고 강조했다.
▲신한은행 이영수 디지털혁신단 셀장은 ‘금융권 AI의 FDS 적용 사례와 이슈’를 발표했다[사진=보안뉴스]
먼저 신한은행 디지털혁신단 이영수 셀장은 ‘금융권 AI의 FDS 적용 사례와 이슈’에 대해 발표했다. 이영수 셀장은 “어노멀리 시스템(Anomaly System, 이상탐지 시스템)을 어렵게 생각하는 것은 외부에 알려져 있지 않고, 패턴화되기가 힘들기 때문”이라며, “금융권에서는 FDS(Fraud Detection System, 이상거래탐지시스템)를 중심으로 보안 위협에 대응하고 있다”고 말했다.
이영수 셀장은 금융보안의 주요 이슈로 Unknownness(미상), Class Imbalance(클래스 불균형), Heterogeneous(불균질), Diverse types(다양한 유형) 등을 꼽았다. 이 셀장은 “금융권의 이상 탐지 방법론은 ‘Supervised(지도학습)’와 ‘Semi-Supervised(준-지도학습)’, ‘Unsupervised(비지도학습)’ 등 3가지로 구분할 수 있다”며 “신한은행은 이상거래에 대한 고급 접근방식으로 ‘시퀀스 베이스드 Anomaly’와 ‘그래프 Anomaly’를 통해 대포통장 등 보이스피싱 사기로 악용되는 것에 대한 사전대응 방법으로 활용한다”고 소개했다.
이영수 셀장은 “FDS에 대한 AI 적용 효과를 살펴보면 관리자에 의한 모니터링 대상 건수는 현저하게 감소했으며, 효율과 성능은 높아졌다는 것을 확인했다”며 “금융권 AI는 설명 가능하고 이해 가능한 것이 핵심이지만, AI 적용 업무를 보다 개선하기 위해서는 레이블 확보가 가장 중요하다”며 말을 마쳤다.
▲금융보안원 AI기술팀 송은지 수석이 ‘AI시대 디지털 금융 위협과 과제’를 주제로 발표했다[사진=보안뉴스]
다음으로 금융보안원 AI기술팀 송은지 수석이 ‘AI시대 디지털 금융 위협과 과제’를 주제로 발표했다. 송은지 수석은 “최근 챗GPT를 필두로 시작된 생성형 AI 시대에서 AI 리스크를 살펴보면 ‘AI의 위험 유형’은 프라이버시, 보안성, 투명성·설명가능성, 공정성, 안정성·성능, 제3자 위험 등이 있고, ‘AI 위험 발생 가능 영역’은 데이터, 모델 선택 및 훈련, 배포·인프라, 계약·보험, 법률·규제, 조직·문화 등으로 다양하게 구분되고 있다”고 말했다. 전통적인 보안과 AI시대 보안의 차이점은 대용량 입력 데이터, 학습 데이터의 가공 여부로 구분할 수 있다.
AI 적대적 공격은 회피 공격과 데이터 오염 공격, 모델 추출 공격 및 모델 역전 공격 등으로 나눌 수 있다는 게 송 수석의 설명이다. 또한 생성형 AI를 악용하는 공격은 가짜뉴스와 딥페이크, 스팸 메일과 피싱 공격 등이 있다. 적대적 예제로는 챗GPT의 탈옥을 통한 활용, 저작권 보호 우회, 편견 또는 편향 금지 우회 등이 있고, 최근 보고된 원격명령 실행 취약점과 같은 전통적 취약점도 생성형 AI 공급망에 대한 위협 중 하나라는 것이다.
송은지 수석은 “악용으로 인한 AI 위협에는 AI로 대응할 필요가 있지만, 캡차와 같이 사람과 상호작용이 중요한 작업의 경우 사람의 능력치 이상으로 경쟁하기 어려워 이때는 대안 수단에 대한 폭넓은 고민이 필요하다”며 “생성형 AI 모델의 유연함이 보안 위협으로 불거지는 만큼 다양한 위협을 분류하고 위협별로 특화된 AI 모델로 대응하는 것이 효과적”이라고 강조했다.
이어 ”금융분야에서 AI 보안 위협에 대응하기 위해 개별 기관이 보유한 정보를 직접 공유하지 않고도 협력해 AI 모델을 개발할 수 있는 분사 학습 기술인 연합학습 모델을 추진하고 있다“며 ”이를 통해 이상금융거래, 자금세탁방지 등 정보공유가 어려운 영역에서 금융회사의 정보 노출을 최소화하면서 AI 개발 및 활용이 가능할 것“이라고 설명했다.
▲김앤장 법률사무소 강성윤 변호사는 ‘금융 AI 주요 규제 및 이슈’를 살펴봤다[사진=보안뉴스]
마지막으로 김앤장 법률사무소 강성윤 변호사는 ‘금융 AI 주요 규제 및 이슈’를 살펴봤다. 강성윤 변호사는 “국내는 아직 AI와 관련한 특별한 법안이 없기 때문에 명확한 규제는 없다”며 “기술은 발전하는데 법률이 뒷받침하지 못하고 있다”고 말했다. 이어 “현재는 금융당국과 금융보안원, 개인정보보호위원회의 가이드라인에 주목하는 것이 중요하다”고 말했다.
금융당국은 2022년 8월에 ‘금융분야 AI 개발 활용 안내서’를, 2023년 4월에는 ‘금융분야 AI 보안 가이드라인’을 발표했다. 또한 개인정보위는 올해 공개된 개인정보 활용, 이동형 영상기기, AI 투명성 확보, 생체인식정보·합성데이터 활용 관련 가이드라인을 발표할 예정이다.
강성윤 변호사는 “다양한 가이드라인의 핵심 내용이 금융권의 주요 부서와 임직원들에게 정확히 전달돼 업무로 원활하게 연결되는 게 중요하지만, 이를 적용하기에는 아직 혼란스러운 부분이 많아 실제 은행과 고객에게 필요한 것이 무엇인지 선별하는 일이 중요하다”고 강조했다.
마지막으로 강 변호사는 “금융권 AI 보안을 지키는 기본은 개발 단계에서부터 ‘안전’을 중심에 두는 것”이라며 “기업과 조직에서 Secure by Design을 중요하게 생각하고, 가이드라인을 토대로 기획부터 운영의 전 과정에 이르기까지 AI의 안전한 라이프사이클 체계를 갖춰야 한다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
