지난 8월 디지털 금융의 판도를 뒤집을만한 금융당국의 발표가 나왔다. 금융위원회가 단계적으로 금융 망분리의 규제를 개선하겠다고 밝힌 것이다. 현재 금융사는 사이버 공격을 피하기 위해 업무망과 인터넷망을 나누는 ‘망분리’ 조치를 취하고 있는데, 이로 인해 신기술을 활용할 수 없는 제약이 잇따르고 있다. 금융위는 불편함을 호소하는 업계의 의견을 반영해 현 금융 망분리 규제를 완화할 계획이다. 규제 완화로 금융사는 생성형 인공지능(AI), 클라우드 기반의 서비스 등을 이용할 수 있게 된다.
핀테크 기업 토스(비바리퍼블리카)는 규제 완화에 대비해 생성형AI 기술을 서비스에 도입할 계획이다. 그러나 토스에는 금융 서비스 종류가 많을뿐더러, 생성형AI는 아직 환각(할루시네이션)이라는 한계가 있어 이를 그대로 활용하기에는 어려움이 있다. 따라서 토스는 생성형AI를 효율적, 윤리적으로 시스템에 도입, 서비스에 활용하기 위한 AI 관리 체계를 만들었다.
김상혁 토스 정보보안 매니저(=사진)는 29일 <바이라인 네트워크>가 서울 양재동 엘타워에서 주최한 2024 금융테크 컨퍼런스 ‘포스트 망분리 시대, 금융IT가 가야할 길’ 행사에 강연자로 참석, 토스가 만든 AI 관리 체계를 공개했다. 김 매니저는 “그동안 망분리라는 테두리 안에서 도입하진 않았지만 앞으로 (신기술 도입)을 더 많이 고민해야 하는 상황에 도래했다”며 “이런 변화에 대해 우리는 얼마나 대응이 가능한지 한 번쯤 질문을 할 시기가 온 것”이라고 강조했다.
김 매니저는 금융 망분리 규제 완화로 생성형AI를 비롯해 클라우드 등 다양한 신기술이 금융 시스템, 서비스에 도입될 것이라고 전망했다. 그는 “그동안 금융권에서 AI서비스를 도입할 수 없었지만 이제 규제 완화로 얼마든지 서버망을 연결해 AI를 이용할 수 있을 전망”이라며 “IT환경과 패러다임이 예전보다 훨씬 빨라졌고 범위가 넓어졌다”고 말했다.
그러나, 새로운 서비스나 신규 솔루션을 도입할 때마다 똑 같은 시간과 인력을 투입할 순 없다. 업무나 서비스, 시스템에 대한 중요도 평가가 이뤄져야 한다. 그 평가를 위해선 기준이 있어야 하고, 중요도에 따른 차등화된 보안 통제도 마련해야 한다. 시스템과 업무에서 발견되는 위협을 발견하면 그에 따라 연관 관계를 파악, 상관관계에 따른 대응체계를 갖춰야 한다. 최종적으로는 가시성을 확보하기 위한 자동화, 시스템화 작업을 진행해야 한다는 것이 토스 측의 설명이다.
이를 위해 토스는 AI 관리 체계를 만들었다. 김 매니저는 “토스에는 데이터사이언티스트, 머신러닝(ML) 엔지니어, 데이터 매니저 등 AI를 처리해야 하는 내부 이해 AI관계자들이 많다”며 “토스는 지난해부터 내부 데이터에 대한 AI 관리 체계 도입을 고민하고 이를 만들었다”고 설명했다.
토스의 AI 관리 체계는 이렇다. 먼저, AI 이용 관리에 대한 지침이 있다. 용어 정리, 모델에 대한 검증, 데이터 검증, 개발 등 AI 업무가 적용되는 전반적인 내용을 아우를 수 있는 내부 이용지침이다.
두 번째로 토스는 AI 윤리 원칙과 AI 윤리위원회를 구성했다. AI 윤리 원칙은 투명성, 책임성을 핵심으로 한다. 위원회는 각 주관 부서의 임원들로 구성되어 있으며, 위원장은 데이터의 헤드(장)이다. 위원회는 토스의 AI 서비스, AI 주요 정책 등을 결정하는 역할을 한다.
세 번째로 토스는 신규 서비스를 만들 때 해당 서비스에 대한 업무 중요도를 상, 중, 하로 평가한다. 기준은 금융 서비스, 고객(사용자), 고객에게 미치는 영향 등이다. 또 중요도에 따른 보안 검증 체크리스트가 있다. AI 모델 책임성, 투명성, 가용성을 확인하고 AI 모델에 대한 성능 등을 확인해 중요하지 않은 서비스에 과도하게 시간을 쏟지 않도록 한다.
김 매니저는 “서비스 중요도에 따라 보안 점검을 할 수 있도록 많은 가이드, 사례를 참고해 자체적으로 체크리스트를 만들어 운영하고 있다”며 “이를 통해 결과를 보고하게 되면 보고 체계도 자동으로 만들어지는데, ‘하’일 경우 팀장에게 보고가 되며 ‘중’일 경우 내부 통제 담당자들에게, ‘상’일 경우 AI 윤리위원회 임원들이 승인할 수 있는 구조로 내부 보고체계를 만들었다”고 설명했다.
또 위험을 식별하기 위한 단말간, 시스템간 모니터링 체계를 구축했다. 토스는 내부 거대언어모델(LMM) 플랫폼을 개발해 검증받지 않은 서비스가 AI 모델을 호출하지 못하도록 했다. 또 개인정보를 포함했다면 이를 거르거나 삭제하는 방안 등을 구성하고 있다. 종합적으로, 토스는 해당 처리를 시스템화, 자동화해 가시성을 확보하고 있다고 김 매니저는 강조했다.
글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network