전자금융감독규정은 전자금융거래법의 하위 규정으로, 금융회사의 IT 보안 기준을 구체적으로 정합니다. AI 도입 관점에서 가장 중요한 조항은 제15조 망분리 의무입니다.
망분리란 금융회사의 업무용 네트워크(업무망)와 인터넷 접속 네트워크(인터넷망)를 물리적 또는 논리적으로 분리하는 것입니다. ChatGPT, Cursor 같은 외부 AI SaaS는 인터넷을 통해 접속해야 하므로, 업무망에서 직접 사용할 수 없습니다. 이것이 금융권 AI 도입의 최대 장벽입니다.
2023년 규제 완화로 비중요 업무에 한해 클라우드 이용이 허용되었지만, '비중요'의 범위 해석이 엄격하여 실제 활용은 제한적입니다. 고객 정보를 다루는 업무, 핵심 거래 시스템은 여전히 망분리 대상입니다.
금융보안원이 발표한 AI 보안 가이드에서는 금융회사의 AI 도구 사용 시 데이터 유출 방지, 모델 검증, 출력 검증 등의 보안 요건을 제시하고 있습니다. 이 가이드는 법적 강제력은 없지만, 금감원 검사 시 사실상의 기준으로 활용됩니다.
쟁점 1: AI SaaS는 업무망에서 쓸 수 있나? 원칙적으로 불가합니다. 인터넷 접속이 필요한 AI SaaS(ChatGPT, Cursor, Claude 등)는 업무망에서 직접 호출할 수 없습니다. 대안은 세 가지입니다.
1) 인터넷망 전용 PC에서만 사용 (업무 데이터 반입 불가)
2) 온프레미스/프라이빗 클라우드에 AI 모델 직접 배포 (비용 높음)
3) 금융 클라우드 가이드라인 준수 하에 비중요 업무에서 조건부 사용
쟁점 2: 코드에디터(Cursor)를 개발자가 쓸 수 있나? 개발 환경이 업무망에 있으면 직접 사용 불가. 개발망이 별도 분리되어 있고 고객 정보가 없는 경우에만 조건부 허용 가능. 반드시 보안팀과 사전 협의 필요.
쟁점 3: Azure/AWS 서울 리전은? 클라우드 자체는 허용되었으나, 망분리 의무는 별도입니다. 클라우드에 있더라도 업무망에서 인터넷을 통해 접속하면 망분리 위반.
금융회사 IT 부서, 보안팀, 개발팀 모두에게 직접 영향을 미칩니다.