대한민국 정부문서 지식모음

금융회사가 프런티어 AI 보안위협에 적극적으로 대응할 수 있도록 면책 조치와 가이드라인을 마련하였습니다.

금융위원회 · 2026-07-02

AI 인용용 요약

금융위원회의 2026-07-02 공고입니다. 대상 원문 확인, 지원내용 원문 확인, 신청기간 원문 확인. 원문 https://www.korea.kr/common/download.do?fileId=198501190&tblKey=GMN, 정준 URL https://korchive.com/doc/FSC_PRESS-20260702-2372dc82, 마지막 확인일 2026-07-08.

기관
금융위원회
문서 성격
지원사업/공고류
주제
연 혁 표 1. 배경 1 2. 금융분야 대응 요령 4 가. 경영진 책임 강화 4 나. 취약점 및 패치 관리 6 다. 자산ㆍ공급망 관리 강화 9 라. AI 기반 방어 자동화 11 마. 금융권 공동 …
대상
원문 확인 필요
지원내용
원문 확인 필요
금액
원문 확인 필요
신청기간
원문 확인 필요
발행일
2026-07-02
수집일
2026-07-07
마지막 확인일
2026-07-08
원문 URL
https://www.korea.kr/common/download.do?fileId=198501190&tblKey=GMN
정준 URL
https://korchive.com/doc/FSC_PRESS-20260702-2372dc82

공공누리 출처표시 조건에 따라 원문 출처를 표시합니다. 자료의 정확한 이용 조건은 원문 제공 기관의 안내를 확인하십시오.

정부 원문 마크다운 보기 원문 게시글

연 혁 표

1. 배경 1

2. 금융분야 대응 요령 4

가. 경영진 책임 강화 4

나. 취약점 및 패치 관리 6

다. 자산ㆍ공급망 관리 강화 9

라. AI 기반 방어 자동화 11

마. 금융권 공동 대응 및 시스템 복원력 강화 13

바. 침해 확산 방지 14

□ 앤트로픽社 미토스 시스템 카드와 글래스윙 프로젝트 중간 결과*를 통해 공개된 높은 성능은 금융 보안 체계에 새로운 위협으로 대두

  • AI 모델의 성능 및 안전성 평가 결과 등이 포함된 기술 문서

** 한 달 만에 1만 건 이상의 신규 고위험 취약점을 발견

ㅇ 각국 정부 및 NYDFS, CSA, FS-ISAC 등 여러 기관에서 미토스 쇼크에 대응하기 위한 다양한 전략 및 관리 항목 제시

□ 이를 분석하여 ①거버넌스, ②취약점 관리, ③자산ㆍ공급망 식별/관리, ④AI 기술 활용, ⑤복원력, ⑥침해 확산 방지 등 6개 핵심 대응 요령 도출

ㅇ 금융회사 등이 참고할 수 있도록 국내 금융권에 특화된 상세 요령을 안내

가. 경영진 책임 강화

□ AI 보안 위협은 기술적 위험 외에도 금융회사 등의 신뢰, 업무 연속성, 금융안정, 규제 준수 등 경영 전반에 영향을 미치는 사항

ㅇ 이사회 및 CEO 등 경영진 중심의 전사적 대응이 필요

ㅇ 이사회 내 정보보호위원회 등에서 AI 보안 위협 대응을 논의하고, CISO는 패치 관리, 외부 노출 자산, 서비스별 복원력 수준, 제3자 리스크, AI 방어 자동화 수준 등을 보고

ㅇ 최종 책임자인 이사회와 CEO는 CISO에게 실질적인 예산 편성권 및 인력 운영의 권한을 부여하고 CIO도 AI 보안 위협 대응에 적극 참여

□ 아울러, AI 위협을 모니터링하고 대응 방안을 수립ㆍ추진하기 위한 CISO 직속 대응반 구성ㆍ운영

ㅇ AI 위협 상황을 모니터링하여 신속하게 조치, 취약점 인지 및 패치 개발을 포함한 조치기간 단축을 위한 다양한 방안 도출ㆍ적용

ㅇ 네트워크ㆍ시스템 인프라 전문가, 보안 전문가, 개발ㆍ배포 파이프라인(CI/CD) 관리자, 서비스 개발자, 데이터 엔지니어 등으로 구성

□ 다수의 심각한 보안 사고가 동시에 발생하는 상황을 가정하여 정기적* 모의훈련 실시

  • 매주 또는 매월, 취약점 대응이 안정화될 때까지 진행

ㅇ 모의훈련 결과는 중요 사고 대응을 위한 매뉴얼 마련, 취약점 관리와 개발ㆍ배포 통합, 인프라 강화 등에 반영

※ (CSA) 동시다발적 침해사고 발생에 대비, 대응 역량 강화를 위한 모의훈련 및 훈련 결과의 매뉴얼ㆍ인프라 반영 중요성 강조

ㅇ CISO가 매월 지표를 취합하여 최고 경영자(CEO)에게 상시 보고, 분기별로 ’정보보호위원회‘ 정식 안건으로 상정ㆍ보고

ㅇ 지표를 참고, CISO에게 부여되는 예산ㆍ인력 연동

▷ CISO 직속 ’프런티어 AI 위협 대응반‘ 조직 구성 및 절차 예시

ㅇ (조직 구성)

ㅇ (가상패치 조치 절차) ① 인지 → ② 가상패치 → ③ 코드수정/패치적용

① 위협 정보 채널 및 AI 진단 도구 등을 통해 신종 고위험 취약점 전파 접수

② 정식 패치 적용 전, 24시간 이내에 WAF 및 IPS 등 정보보호솔루션에 공격 차단 규칙ㆍ패턴 선반영

③ 취약점이 존재하는 소스코드를 수정하거나 프로그램에 패치를 적용, 근본 원인 제거

나. 취약점 및 패치 관리

□ 취약점 발견이 급증할 것으로 전망됨에 따라 패치 관리의 중심을 취약점 제거에서, 공격 성공 가능성을 감소시키는 것으로 전환 필요

ㅇ 신규 취약점 및 패치 배포가 크게 증가할 것으로 예상되며, 이에 따라 패치 우선순위에 대한 고려 필요성 또한 증가

ㅇ 고위험 취약점 일 단위 관리, 패치 예외를 승인한 경우에 대해 재검토, 패치 불가 시스템을 조치하는 방안* 등 명확화

  • 네트워크에서 격리, WAF·IPS 차단(가상 패치), 서비스 제한, 조기 교체 등

□ 취약점 점검에 활용할 수 있는 프런티어 AI 모델 중 금융회사 여건에 적합한 모델을 활용하여 내부 SW 점검

ㅇ 영향도ㆍ노출도가 높은 시스템ㆍ서비스를 우선적으로 점검을 수행하고 발견된 취약점에 대해 검토 후 조치

ㅇ 소스코드 외부 반출 불가 등의 사유로 인해 외부 프런티어 AI 모델 활용이 어려운 경우, SAST* 또는 온프레미스 AI 모델 활용 가능

  • Static Application Security Testing, 정적 소스코드 분석 도구

ㅇ 아래 요소들의 경우 상대적으로 낮은 순위 배정 고려

□ 내외부 SW 취약점점검ㆍ모니터링ㆍ조치 체계(VulnOps)를 통합ㆍ배포(CI/CD) 파이프라인에 적용

ㅇ 형상관리, 소스코드 빌드 시스템 등으로 구성된 파이프라인에 취약점 점검 및 패치를 위한 기능* 또는 플러그인 적용

  • 프런티어 AI 기반 취약점 점검, 신규 패치 모니터링ㆍ개발, 패치 사전 테스트ㆍ배포 등 적용

ㅇ AI 에이전트 등을 이용한 레드티밍 및 취약점 검증 자동화 적용도 고려할 필요

ㅇ 폐쇄망을 일부 운영하는 경우, 폐쇄망 내 온프레미스 AI 모델 기반 취약점 점검 및 패치 생성 프레임워크 필요성을 검토 후 필요시 마련

※ (CSA) 내부 프로그램 소스코드와 종속성 검사 및 CI/CD 파이프라인 상에서의 보안 검토 시 AI(LLM) 기술을 활용하여 수행할 필요

□ 안전한 패치 적용을 위한 사전 테스트와 실패 시 원활한 복구를 위한 시스템 백업 확보 등은 여전히 중요

ㅇ 패치 자동화 시 안전한 패치를 위한 기존 절차들도 함께 고려 필요

ㅇ (세부 배점표 예시)

ㅇ (최종 조치 기준 예시) 합산 점수 15점 이상은 24시간 이내 무조건 패치 적용

▷ CI/CD 파이프라인 내 AI 소스코드 자동 진단 절차 예시

① (커밋/병합 요청) 개발자가 소스코드 저장소에 소스코드 병합을 요청

② (AI 보안 리뷰) 소스코드 저장소와 연계된 자동화 프로그램을 통해 프런티어 AI API를 호출

③ (정밀진단) 프런티어 AI 에이전트가 소스코드 내 취약점*을 자동 점검

  • 하드 코딩된 API키, SQL 구문삽입 취약점, 공급망 오염 등

④ (자동 승인/거절) 취약점 발견 시 커밋/병합을 실패 처리하고, 개발자에게 수정 코드 예시를 포함한 보고서 발송

다. 자산ㆍ공급망 관리 강화

□ AI는 금융회사 외부 공격 표면을 빠르게 탐색할 수 있으므로, 금융회사는 자산·공급망에 대해 정확한 식별ㆍ관리 수행

ㅇ 시스템, 애플리케이션, API, 클라우드, 오픈소스, 위탁 업체, 제3자 소프트웨어 등 모든 자산을 통합적으로 관리할 필요

ㅇ 특히, 인터넷 노출 여부, 업무 중요도, 데이터 민감도, 패치 상태 등을 종합적으로 관리해야 유사시 즉시 대응이 가능

□ 금융회사 자체적으로 활용중인 오픈소스 SW를 조사하여 명세(SBOM 등)를 작성하고, 신규 취약점 모니터링ㆍ조치 강화

ㅇ 공급자 제공 패치 급증에 대비, 패치 우선순위 기준 마련 및 패치공개 → 패치테스트 → 패치적용 프로세스 자동화ㆍ개선

ㅇ (SCA 설정) 자사 소프트웨어 빌드 프로세스에 SCA 도구를 연동하고, 배포 시 SBOM이 생성되도록 구성

▷ 3rd 제품 도입 시 검증 강화 예시

ㅇ (격리 검증 구역) 외부 업체 솔루션 및 신규 오픈소스 소프트웨어 도입 시, 내부망과 격리된 샌드박스 검증 환경 구축ㆍ운영

ㅇ (격리 분석 수행 예시)

  • (1~7일차) 무결성 검증 및 SBOM 기반 하위 컴포넌트 취약점 전수조사
  • (8~14일차) 악성 행위(비인가 아웃바운드 통신, 백도어 등) 유무 모니터링

라. AI 기반 방어 자동화

□ AI 기반 공격에 대비해 보안시스템 자동화 체계를 마련할 수 있으며, 보안 자동화 과정의 오탐지, 과잉대응, 서비스 장애 가능성에 대비하기 위해 업무 위험도 등을 고려하여 자동화 수준을 차등화할 필요

ㅇ (자동화 적극 적용) 로그 분석, 취약점 우선 순위 산정, 코드 리뷰, 피싱 탐지, 보안 이벤트 요약, 위협 인텔리전스 분석 등

ㅇ (일부 자동화+인간개입) 계정 잠금, 트래픽 차단, 시스템 격리, 패치 배포 등은 사전 시뮬레이션과 인간 승인을 전제로 운영

□ 엔드포인트 및 인프라*에서 수집된 정보를 분석, 여러 시스템에 걸친 광범위하고 신속한 자동 대응 수행 역량 확보

  • 네트워크, 클라우드 워크로드, 이메일 게이트웨이 등

ㅇ 신속하고 능동적인 대응을 위해 EDR/XDR 등 정보보호 대응 인프라 강화

▷ XDR 기반 침해 단말 자동 격리 절차 예시

① (로그 상호연관 분석) XDR이 EDR, 방화벽, 클라우드 가상 네트워크 등의 이기종 로그를 통합 분석

② (AI 위협 판단) 단시간 내 다수 단말을 거쳐 이동한 징후를 AI 에이전트를 활용해 식별

③ (API 기반 강제 격리) 인적 개입 없이 XDR이 해당 단말의 백신 에이전트 및 스위치 장비 접근제어목록(ACL)을 제어하여 네트워크 통신을 차단

마. 금융권 공동 대응 및 시스템 복원력 강화

□ (회복 중심 리스크 관리) 프런티어 AI 기반 공격에 대한 완벽한 방어는 매우 어렵기 때문에, 신속한 회복력(Resilience) 중심 사후 관리 대책 수립

ㅇ 위협 인지 시 사람의 개입 없이도 공격 IP 및 오염 세션을 실시간 격리할 수 있는 자동화 대응 메커니즘 마련

ㅇ 업무연속성계획(BCP, Business Continuity Plan)에 의거 오염되지 않은 백업본으로 서비스를 자동 복원하는 체계 정비

□ 금융회사가 사용하는 동일한 솔루션, 클라우드, 오픈소스, 위탁 업체 등의 경우 하나의 취약점이 빠르게 확산할 가능성

ㅇ 특히, AI의 대규모 보안 위협에 대한 개별 금융회사 차원의 대응에는 한계가 있으므로 복원력 중심의 공동 대응* 필요

  • 위협정보 공유, 공동 탐지룰, 취약점 선공개 대응, 공급망 공동 점검, 모의훈련 등

□ 금융AI보안연구소 지원센터(aisupport@fsec.or.kr, 02-3495-9851)를 통해 프런티어 AI 보안 위협 공동 대응 및 관련 안내 지원

ㅇ 아울러, 보안 위협 발생 시에는 금융ISAC(isac@fsec.or.kr, 02-3495-9999)을 통해 관련 정보를 전파하고, 신속하게 대응

ㅇ (구현 절차) 변조 및 랜섬웨어 공격 확산 인지 즉시, 침해ㆍ변조된 채널을 차단함과 동시에 격리 보관 중인 최신 백업을 즉시 운영 서버로 승격

ㅇ (주기적 점검) 업무연속성 자동화 스크립트를 주기적으로 실행ㆍ점검

바. 침해 확산 방지

□ AI 기반 공격은 초기 침투 이후 권한 상승과 횡적 이동을 통해 금융회사 내부 시스템 전체로 빠르게 확산할 우려

ㅇ 내부의 구성원을 믿는 경계 기반 보안이 아닌 공격자가 내부에 침입했을 수 있다고 가정, 항상 검증하는 제로트러스트 개념 적용

ㅇ 다중 인증, 최소 권한, 마이크로세그멘테이션, 휴면계정 제거, API 접근통제, 중요 데이터 접근 검증 등 핵심 통제 강화

  • 고객정보, 결제/인증, 계정계, 대외계, 관리자 콘솔 등은 별도로 분리하여 운영하고, 내부망이라는 이유만으로 무조건적 신뢰 금지

※ (FS-ISAC) 취약점 관리에서 익스플로잇 방어로의 인식 전환 필요, 침해 발생시 내부 이동 제한을 위한 네트워크 세분화, 접근통제 및 시스템 간 격리가 중요

□ 제로트러스트, EDR/XDR 등 솔루션 도입 시 신뢰성 확보를 위해 국내외 인증ㆍ평가* 결과를 참고

  • (예시) 국내외 CC 인증, MITRE, SOC2, FedRAMP 등

ㅇ 웹서버가 프런티어 AI 공격으로 완전히 장악되더라도, 내부 계정계나 고객 정보 DB로 이동할 수 없도록 가상 네트워크 인프라(SDN) 수준에서 프로그램 간 통신 허용 범위를 단일 API 단위로 축소하고 접속을 매 순간 검증

▷ 피싱 저항 다중인증(MFA) 적용 및 휴면계정 관리 자동화 예시

ㅇ (MFA 강화) 중요 서버 접속, 중요 정보 조회, 이상 행위 탐지시 생체 인증, 하드웨어 보안토큰 등 강화된 추가 인증을 적용하여 침해사고 방지

※ SMS 인증 및 OTP의 경우 공격자가 AI 보이스, 딥페이크, 피싱 사이트 등을 악용하는 경우 우회 가능성 존재

ㅇ (계정ㆍ권한 관리 자동화)

  • 인사관리 시스템과 권한관리 시스템을 실시간 연동
  • 인사정보 변경 시 즉시 권한 삭제
  • 일정 기간* 이상 로그인 이력이 없는 계정은 스크립트를 통해 자동으로 비활성화 또는 권한 삭제 수행
  • 업무별 특성 및 시스템 이용 빈도 등을 고려하여 비활성화 및 권한 삭제를 수행할 기간 설정