[칼럼] "금융 AI 위수탁, 공동통제 통한 거버넌스 혁신 필요해"

[칼럼 여창환 생명보험협회 CISO] 금융회사의 AI 활용은 실험적 수준을 넘어 필수 경영전략으로 자리 잡았다. 챗봇 상담, 비대면 여신 심사, 실시간 사기거래 탐지, 신용평가 자동화 등 AI는 고객경험(CX) 혁신과 운영비용 절감을 동시에 실현한다.

특히 규제 샌드박스와 같은 혁신금융서비스 제도는 AI 기반 신용평가, 맞춤형 금융상품 추천, 로보어드바이저 등 새로운 서비스 모델의 시장 진입 장벽을 낮추며 금융산업의 구조적 변화를 가속화하고 있다.

그러나 AI 확산은 데이터 거버넌스와 정보보호 체계의 근본적 재설계를 요구한다. 과거 금융 데이터는 정형화된 거래기록과 계좌정보 중심이었지만, 오늘날 AI 학습에는 고객 상담 음성, 콜센터 녹취, 내부 보고 문서, 심지어 영상·이미지 같은 비정형 데이터까지 포함된다.

이러한 데이터 다양성은 AI 정확도를 높이고 비즈니스 기회를 확장하는 요인이지만, 동시에 데이터 처리·보관 과정에서의 보안 취약점과 개인정보 유출 가능성이라는 새로운 리스크를 증가시킨다.

데이터 부족과 새로운 활용 방식의 법적 리스크

금융권은 여전히 데이터 부족 문제를 겪고 있다. 개인정보보호법의 엄격한 동의 요건과 내부 데이터 사일로(Silo) 문제는 AI 학습데이터 확보를 어렵게 한다. 이를 보완하기 위해 합성데이터(synthetic data) 처리와 가명정보 활용이 활발히 시도되고 있다. 합성데이터는 원본 데이터의 통계적 특성을 반영한 가상의 데이터로 직접 유출 위험을 줄일 수 있으며, 가명정보는 법령이 허용하는 범위 내에 서 동의 없이도 통계·연구 목적에 활용이 가능하다.

그러나 가명정보 해석 범위 확대나 합성데이터의 재식별 위험은 간과할 수 없는 쟁점이다. 데이터 결합 과정에서 외부 데이터와 연계해 개인을 재식별할 가능성이 상존하며, 해외 연구는 합성데이터에서 원본 데이터의 일부 속성이 역추적될 수 있음을 입증했다. 즉, 데이터 활용성 확보와 개인정보 보호 준수는 동시에 달성해야 하는 양면과제다.

위수탁 구조의 구조적 한계

이 모든 데이터 처리와 AI 모델링 작업의 상당 부분은 외부 수탁사에 위탁된다. 클라우드 기반 AI 플랫폼, 데이터 라벨링, 모델 재학습 등은 고도의 전문성과 대규모 연산 인프라가 필요하기 때문이다.

그러나 이 구조는 실질적 권한은 수탁사에 집중되고, 법적 책임은 위탁사에 귀속되는 비대칭성 을 낳는다. 2022년 일본 아마가사키시(尼崎市)에서는 데이터 처리 수탁사 BIPROGY 직원이 46만 명의 주민정 보가 담긴 USB를 무단 반출·분실해 대규모 개인정보 유출이 발생했다. 이는 통제권 부재와 책임 집 중이 결합했을 때 발생하는 위험을 잘 보여준다.

공동통제(Shared Control)의 도입

전통적 위수탁 관리방식은 주로 연 1회 점검, 서면 확인, SLA(Service Level Agreement) 위주의 사후적 관리였다. 그러나 AI와 비정형 데이터 중심의 처리 환경에서는 이러한 방식만으로는 실질적 통제를 확보할 수 없다. 이에 공동통제(Shared Control) 개념이 필요하다.

공동통제란 위탁사와 수탁사가 데이터 처리, AI 모델 운영, 보안관리를 공동으로 실시간 수행할 수 있도록 권한과 책임을 공유하는 거버넌스 체계다.

[실행 전략 예시]

⦁데이터 처리 로그 실시간 공유: 수탁사의 데이터 접근·처리 활동을 위탁사가 직접 모니터링할 수 있도록 API 기반 로그 연동 체계 구축.

⦁AI 모델 변경·재사용 승인 절차: 수탁사의 모델 재학습, 전이학습, 외부 데이터 결합 시 위탁사의 사전검토 프로세스 의무화.

⦁비정형 데이터 보안 프레임워크 적용: 이미지·음성·영상 등 고위험 데이터 처리에 대해 별도의 암 호화·익명화 기준과 접근 통제정책을 마련.

⦁공동 리스크 평가 및 침해 대응 프로토콜: 사고 발생 시 수탁사-위탁사 공동대응 체계(예: CSIRT 연동) 및 주기적 모의훈련.

⦁계약 단계 데이터 윤리·설명가능성 요건 명시: AI 모델의 설명가능성(Explainability)과 재현가능성 (Reproducibility)을 보장하는 구체적 점검 항목을 포함해야 한다.

AI와 데이터 다양성은 금융 혁신의 핵심 동력이지만, 법적 해석 사각지대와 위수탁 관리 부재는 고객 신뢰를 훼손할 수 있다. 혁신과 안전은 대립하는 개념이 아니라 균형의 문제다. 금융회사의 AI 활용 전략은 데이터 활용성을 높이는 동시에 공동통제를 통한 권한·책임의 균형을 확보할 때 비로소 완성된다. 이러한 거버넌스 전환이야말로 금융회사가 AI 시대에 신뢰받는 혁신 기업으로 자리매김하 는 핵심 조건이다.

Related Materials

• 금융보안원의 금융분야 AI 보안 가이드라인 - 베스핀글로벌, 2023년
• 2023 금융보안원 연차보고서: AI·BigData·Cloud 기반 차세대 금융보안관제 - 금융보안원, 2023년

금융권 노린 랜섬웨어, 6월 폭발 증가

💡Editor Pick - 금융권, 6월 세스템 제어 백도어, 시스템 장악 랜섬웨어 악성코드 기승 - 해커 원더, 다크웹서 금융권 개인정보 판매 - 랜섬웨어 그룹 에버레스트, 요르단 은행 해킹 주장 금융권을 노린 악성코드가 기승을 부리고 있어 이용자들의 각별한 주의가 요구된다. 안랩이 발표한 ‘금융권 대상 유포 악성코드 통계’에 따르면 공격 1단계인 초기 침투에선

The Tech EdgeCheifEditor

세계 금융권 노리는 악성 캠페인, 은밀하고 광범위하게 퍼져

💡Editor’s Pick - 홍콩과 호주, 싱가포르 금융권에서는 이미 피해 발생 - 스퀴드로더라는 멀웨어가 복잡한 경로로, 은밀하게 퍼지고 있음 - 금융권 컴퓨터를 공격자들이 마음대로 사용할 수 있게 됨 세계 금융권을 노리는 악성 코드 유포 캠페인이 적발됐다. 보안 업체 트렐릭스(Trellix)가 보고서를 통해 발표한 바에 의하면 현재 퍼지고 있는 멀웨어는 스퀴드로더(

The Tech EdgeJustAnotherEditor

[속보] 금융위, “SGI보증보험 핵심 시스템만 복구, 모든 정상화가 목표”

💡- Editor Pick - 금융위, 핵심 전산시스템 복구...17일 오전10시부터 보증서 발급 재개 - 금감원, 14일 현장점검 착수...모든 업무 정상화 최우선 목표로 진행중 지난 17일 오전 10시부터 보증서 발급을 재개한 SGI서울보증이 핵심 전산시스템만 복구된 것으로 확인됐다. 모든 시스템이 정상복구되진 않았단 뜻이다. 이와 관련해 18일 금융위원회가 ”핵심 전산시스템을 복구했다”고

The Tech EdgeCheifEditor