국내 금융회사의 보안 수준이 낮고 발전이 정체된 가운데, 이사회 등 경영진이 보안에 대한 역할 책임 또한 제한적인 상황으로 이들의 보안 책임성을 강화해야 한다는 제언이 나왔다.
서호진 금융보안원 보안연구부 부서장은 11일 한국경영법률학회와 디지털금융법포럼이 법무법인 광장에서 개최한 ‘디지털금융법의 최근 동향과 정책과제’ 학술대회를 통해 이같이 밝혔다.
이날 ‘금융보안 법제 개편 필요성’에 대해 발표한 서 부서장은 “보안이 과거와 달리 디지털 금융화된 상황에서 실제로 보안 사고가 나면 기업의 재무나 운영까지 영향을 미치게 되는 핵심 리스크로 부각됐지만, 금융보안 관련 법제는 규정이 촘촘하게 마련이 돼 있다 보니 금융회사는 이 규정만 지키면 보완이 다 된 것으로 인식하는 소극적인 업무 관행을 가지는 부분이 있다”고 지적했다.
그러면서 “전자금융거래법령상 이사회 및 최고경영자(CEO)의 책임을 보면 이사회의 경우 지엽적인 내용만 있고 CEO의 책임 자체가 법률에 명시된 부분이 적으며 이사회에서 이를 심의 의결을 하는 것도 없어 경영 개선이 필요하다”고 말했다.
이어 “금융 보안을 총괄하는 정보보호 최고책임자(CISO)의 경우 현재 많은 역할이 부여돼 있지만 이에 따른 권한이나 위상 보장은 미흡하다”며 “CISO는 많은 업무와 역할이 있는 만큼 다른 C 레벨 경영진과 유사한 권한이나 지위를 보장해야 한다”고 강조했다.
금융보안은 기업의 재무, 운영 등에 영향을 미치는 핵심 리스크로 부각된 상황이지만, 규제수준은 보안의 목적과 해외와 비교하면 수준이 낮아 글로벌 금융회사 수준의 보안역량을 조속히 제고할 수 있도록 법적 기반을 마련해야 한다는 게 서 부서장의 설명이다.
이어 이날 ‘금융분야 인공지능 관련 주요 정책 동향 및 과제’를 주제로 발표한 김태주 법무법인 광장 변호사는 ‘고영향 인공지능’ 규제에 대한 검토가 필요하다고 강조했다.
인공기능기본법 제2조 제4호에 따르면 사람의 생명, 신체 안전 및 기본권에 대한 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능 시스템은 고영향 인공지능으로 분류하고 있다.
김 변호사는 “고영향 인공지능을 이용한 제품(서비스)을 제공하려는 경우 해당 제품이 고영향 인공지능에 기반해 운용된다는 사실을 이용자에게 사전에 고지해야하고, 기본권에 대한 영향평가, 안전성·신뢰성 확보를 위해 다양한 조치를 취해야할 의무가 있다”고 말했다.
또한 결과 표시 의무, 딥페이크 고지·표시 의무, 인공지능 안전성 확보 의무 등을 위해 다양한 조치를 취해야 할 의무가 있다.
다만, 이 변호사는 고영향 인공지능 범위가 모호한 상태인데 이 범위가 넓어질수록 시장의 우려도 커진다고 지적했다.
올 상반기 과학기술정보통신부는 인공지능기본법(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법) 하위법령 제정을 조기 추진하겠다는 입장이다.
이 변호사는 “인공지능기본법은 내년 1월 22일 전면 시행될 예정으로, 대통령령으로 고영향 인공지능 범위를 명확히 정해도 인공지능사업자 입장에서는 규제 시행에 대응하기 위한 시간이 부족할 수 있다”고 진단했다.
이주희 기자 jh224@segye.com
