금융보안원(FSI)이 발표한 이 가이드는 금융회사가 생성형 AI, AI 분석 도구, AI 자동화 시스템을 도입/운영할 때 적용해야 하는 보안 기준을 제시합니다.
핵심 내용은 5개 영역입니다.
1) 데이터 유출 방지: AI 도구에 입력하는 데이터에 고객 정보, 내부 기밀이 포함되지 않도록 DLP(Data Loss Prevention) 체계를 갖춰야 합니다. 프롬프트 입력 전 민감정보 필터링 필수.
2) 모델 입출력 검증: AI가 생성한 결과(코드, 문서, 분석 등)를 업무에 직접 사용하기 전에 인간이 검증하는 프로세스가 있어야 합니다. 특히 금융 판단(신용평가, 투자자문)에는 AI 출력 단독 사용 금지.
3) 접근 통제: AI 도구 사용 권한을 직무/직급별로 제한하고, 사용 로그를 보관해야 합니다.
4) 서비스 안정성: AI SaaS 장애 시 업무 연속성 계획(BCP). 대체 수단 확보.
5) 공급망 보안: AI SaaS 제공 업체의 보안 수준 평가. 재위탁(서브프로세서) 현황 파악.
금융결제원: 전자금융거래 표준 API 규격 관리, 오픈뱅킹 보안 기준, 금융 데이터 전송 표준. AI가 오픈뱅킹 API를 호출하는 경우 금융결제원 표준 준수 필수.
금융보안원: 금융 ISMS-P 인증 관리, 취약점 분석/평가, 침해사고 대응 지원. AI 도입 기업의 ISMS-P 인증 범위에 AI 시스템 포함 여부 판단 기준 제공.
금융위원회: 혁신금융서비스(규제 샌드박스) 지정을 통해 AI 기반 금융서비스의 시범 운영을 허용. 로보어드바이저 테스트베드 운영.
금융감독원: IT 검사 시 AI 도구 사용 현황을 점검 항목에 포함. 2025년부터 생성형 AI 사용 현황 보고 요구 사례 증가.