AI 금융 확대 시대, 개인정보보호·금융규제 이슈 부각…ISMS-P 대응 필수

핵심 요약

- 현대캐피탈 정형진 사장, AI 금융시대 위협 요인으로 개인정보보호·금융규제 이슈 강조 - 글로벌 경기 둔화, 핀테크·빅테크 금융시장 진출 등이 전통 금융권 위협 - AI 활용 확대에 따른 정보보호 관리체계 및 금융보안 규제 대응 중요성 증대

주요 내용

현대캐피탈 정형진 사장은 'ABC AI금융시대'를 주제로 한 발표에서 AI와 글로벌 금융 결합에 따른 위협 요인을 분석했다. 글로벌 경기 둔화와 자동차 판매 감소, 금리 변동성 확대 등 전통적인 금융 리스크와 함께, 핀테크 기업과 빅테크의 금융시장 진출이 캐피탈사 등 전통 금융권에 새로운 도전 과제가 되고 있다고 진단했다.

특히 주목할 점은 AI 활용이 확대될수록 개인정보보호와 금융규제 이슈가 더욱 중요해질 것이라는 전망이다. 금융권에서 AI 기술을 여신심사, 고객 맞춤형 상품 추천, 부정거래 탐지(FDS) 등에 활용하면서 대규모 고객 데이터 처리가 불가피해지고 있다. 이 과정에서 신용정보, 금융거래정보 등 민감정보 유출 위험과 AI 알고리즘의 편향성, 설명 가능성(Explainability) 문제가 부각되고 있다.

금융권은 이미 전자금융감독규정, 금융보안원 가이드라인 등 엄격한 보안 규제를 준수해야 하는 상황에서, AI 도입에 따른 추가적인 규제 대응 부담이 가중되고 있다. 금융위원회와 금융감독원은 AI 활용 금융서비스에 대한 가이드라인 마련을 추진 중이며, 개인정보보호위원회 역시 AI 기반 자동화 의사결정에 대한 정보주체 권리 보장 방안을 검토하고 있다.

정 사장의 지적처럼 핀테크·빅테크 기업들이 상대적으로 유연한 규제 환경에서 AI 기술을 빠르게 도입하는 반면, 전통 금융기관은 기존 규제 프레임워크 내에서 혁신과 컴플라이언스의 균형을 맞춰야 하는 이중 과제에 직면해 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 금융권의 AI 도입은 개인정보 생명주기 전반에 걸친 보호대책 재설계를 요구한다. 특히 AI 학습 데이터의 수집·이용 목적 명확화, 가명정보 처리 적정성 평가, 모델 학습 과정의 접근통제, AI 산출 결과에 대한 정확성·공정성 검증 체계 구축이 필수적이다. 금융회사는 ISMS-P 인증 시 AI 시스템을 정보보호대상 자산으로 식별하고, 위험평가 및 관리적·기술적·물리적 보호대책을 수립해야 한다.

실무적으로는 AI 거버넌스 체계 구축이 시급하다. AI 윤리 원칙 수립, AI 영향평가(AIA) 프로세스 도입, 제3자 AI 서비스 이용 시 공급망 보안 관리, 사고 발생 시 책임 소재 명확화 등이 포함되어야 한다. 특히 금융권은 AI 기반 의사결정에 대한 설명 요구 시 대응할 수 있도록 모델 해석 가능성 확보와 로깅 체계 강화가 필요하다. 정 사장이 언급한 위협 요인들은 결국 '신뢰할 수 있는 AI(Trustworthy AI)' 구현 여부가 금융기관의 경쟁력을 좌우할 것임을 시사한다.

CPPG·ISMS-P 연계 포인트

1. 개인정보 영향평가(PIA)와 AI 시스템 금융권이 AI 시스템을 도입할 때 개인정보 영향평가 수행 의무 대상이 될 수 있다. 특히 5만 명 이상의 정보주체에 관한 민감정보를 처리하는 경우, AI 기반 신용평가·여신심사 시스템은 개인정보보호법 제33조에 따른 영향평가 대상이 된다. 평가 시 AI 알고리즘의 개인정보 처리 범위, 자동화 의사결정의 적법성, 정보주체 권리 보장 방안을 중점 검토해야 한다.

2. ISMS-P 인증심사 시 AI 시스템 통제 항목 ISMS-P 인증기준 2.8.4(개인정보처리시스템 접근 통제) 및 2.10.3(개인정보처리시스템 도입·변경 시 안전성 확보)는 AI 시스템에도 동일하게 적용된다. AI 학습 데이터 접근 권한 관리, 모델 배포 전 보안성 검토, 학습 데이터 내 개인정보 최소화·가명처리 적정성 등을 심사받게 되며, 금융권은 추가로 전자금융감독규정상 보안성 심의 절차도 준수해야 한다.