“국내 금융권, AI 쓴다면서 어디에 쓰는지도 몰라”

핀테크산업협회 포럼, “금융사 90% 외부 의존, 46%는 사용처 파악 못 해”

  • 카카오공유 
  • 메타공유 
  • X공유 
  • 네이버밴드 공유 
기사아이콘

권선무 기자

vivacheche@datanews.co.kr | 2026.06.29 08:49:50
  • 프린트
  • 메일
  • 스크랩
  • 목록
  • 글자크기
  • 크게
  • 작게
국내 금융권이 인공지능(AI)을 신용평가와 금융사기 탐지, 고객 상담 등 핵심 업무에 빠르게 도입하고 있다. 하지만 정작 금융회사 절반가량은 자사 AI가 어디에, 어떻게 활용되는지조차 정확히 파악하지 못하는 것으로 나타났다. AI가 금융산업의 핵심 인프라로 자리 잡고 있음에도 이를 통제·감독할 제도적 기반은 아직 걸음마 수준이라는 지적이 나온다.

특히 금융 AI 도입 기업의 90%가량이 외부 공급업체에 의존하고 있는 것으로 조사돼, 금융권 전반의 AI 거버넌스 체계를 서둘러 정비해야 한다는 목소리가 커지고 있다. 이는 ‘AI 금융 규제가 나아가야 할 방향’을 주제로 한국핀테크산업협회가 국회의원회관에서 최근 개최한 포럼에서 제기됐다.

채상미 이화여대 교수는 “금융 AI 경쟁력은 모델 성능보다, 검증 가능한 신뢰 인프라에서 결정된다”며 “지금 필요한 것은 AI를 허용할지 말지를 논의하는 것이 아니라, 위험을 어떻게 검증하고 관리할 것인지에 대한 체계”라고 이 포럼 발제문을 통해 강조했다.

“AI 도입은 했지만… 절반은 어디에 쓰는지도 모른다”
채 교수가 조사한 국내외 금융권 AI 도입 실태조사 결과는 금융권 AI 활용의 민낯을 보여준다. AI를 활용 중인 금융회사 가운데 자체 AI 모델을 개발한 곳은 10%에 불과했다. 나머지 90%는 외부 벤더나 빅테크, 클라우드 사업자가 제공하는 AI 모델과 솔루션을 활용하고 있었다.

더 큰 문제는 외부 의존의 정도다. 응답 금융회사 가운데 33%는 클라우드 인프라와 AI 모델, 학습 데이터, 운영 데이터 등 AI 운영의 ‘핵심 요소 전반’을 외부 공급업체에 의존하고 있는 것으로 나타났다.

이 같은 공급망 구조 속에서 금융사들의 내부 통제 수준은 기대에 미치지 못했다. 조사 결과 금융사의 46%는 자사 내부에서 △AI가 구체적으로 어느 업무에 사용되고 있는지, △어떤 데이터를 활용하는지, △어떤 모델이 작동 중인지조차 완전히 파악하지 못하는 것으로 나타났다.

AI가 신용평가에 활용되는지, 이상거래 탐지에 사용되는지, 고객 상담에 적용되는지, 또는 어떤 외부 모델이 고객 데이터를 처리하는지조차 조직 차원에서 일목요연하게 관리하지 못하는 금융회사가 절반에 달한다는 의미다.

금융권 관계자는 “과거 정보기술(IT) 시스템은 자체 구축 중심이었지만, AI는 외부 서비스와 응용 프로그래밍 인터페이스(API·Application Programming Interface)를 연결해 사용하는 경우가 많아졌다”며 “현장에서는 어떤 부서가 어떤 생성형 AI를 사용하는지 본사 차원에서 실시간 파악하기 어려운 경우도 적지 않다”고 말했다.

AI 공급망 리스크, 금융 시스템 위험으로 번질 수도
전문가들은 이러한 상황이 관리 부실을 넘어, 금융시스템 전체의 위험으로 이어질 수 있다고 우려한다. 현재 금융권 AI 활용은 △신용평가시스템(CSS), △이상거래 탐지시스템(FDS), △자금세탁방지(AML), △투자자문, △고객상담 등 금융서비스 전반으로 확산되고 있다.

만약 특정 AI 모델의 오류나 편향, 보안 취약점이 발생하면, 동일한 공급업체의 서비스를 사용하는 다수 금융회사에 동시다발적으로 영향을 미칠 ‘제3자 공급망 리스크’ 가능성이 있다.

채교수는 향후 금융당국 감독 과정에서 단순히 “AI를 사용하는가”를 확인하는 수준을 넘어 △모델 공급자는 누구인지 △데이터는 어디서 왔는지 △모델 변경 권한은 누구에게 있는지 △운영 책임은 어디까지인지 등을 체계적으로 관리해야 한다고 주장했다.

“AI 리스크 관리, 문서심사에서 실시간 검증으로 바꿔야”
채 교수가 제안한 핵심은 ‘운영증거(Operational Evidence) 기반 감독체계’다. 현재 금융 규제는 사전 승인 문서와 내부 규정 중심으로 운영된다. 그러나 AI는 학습 데이터가 바뀌고 모델이 지속적으로 업데이트되는 특성상 사전 심사만으로는 위험을 통제하기 어렵다는 것이다.

채 교수는 “감독기관이 소스코드 제출을 요구하는 방식은 현실적이지 않다”며 “대신 금융회사가 AI가 안전하게 운영되고 있다는 증거를 지속적으로 제시하도록 해야 한다”고 말했다. 예를 들어, 금융회사가 운영 중인 AI 모델의 변경 이력과 데이터 계보(Data Lineage), 성능 검증 결과, 운영 로그 등을 상시 기록하고 감독당국이 이를 점검하는 방식이다. 이는 최근 미국과 유럽 금융당국이 추진하는 ‘지속적 모니터링 기반 AI 감독’과도 맥을 같이한다.

금융 AI 제도가 보완할 ‘5대 공백’
현재 금융 AI 제도에서 보완해야 할 핵심 과제로 다섯 가지가 제시됐다.
첫째, AI 사용처 인벤토리와 중요도 평가 기준의 표준화 부족.
둘째, 모델·데이터 계보와 변경 이력에 대한 감사 기준 부재.
셋째, 외부 AI 모델과 클라우드 공급망에 대한 집중 위험 관리 미흡.
넷째, 딥페이크와 AI 기반 보이스피싱 정보를 공유하는 과정에서 발생하는 법적 불확실성.
다섯째, 스스로 판단하고 행동하는 에이전틱 AI가 금융거래나 계약을 수행할 경우 책임 소재가 불명확하다는 점이다.

이와관련, 채 교수는 “AI를 안전하게 활용하려면 사용처 등록 의무화와 위험등급제, 공급망 보증체계, 공동 방어 인프라 구축 등이 필요하다”며 “100일, 1년, 2년 단위의 구체적 실행 로드맵을 마련해야 한다”고 말했다.

금융당국도 하반기 AI 가이드라인 시행
금융위원회와 금융감독원은 올해 하반기 ‘금융분야 AI 가이드라인’을 시행할 예정이다. 이 포럼에서 발표한 강현정 변호사는 “현재 가이드라인은 강제 규제가 아닌 권고 중심의 자율규범이지만 향후 감독·검사의 중요한 기준이 될 가능성이 높다”고 설명했다.

이번 포럼에서 “AI 금융 시대의 경쟁력은 더 이상 알고리즘 자체가 아니라, 그것을 관리하고 검증하는 체계에서 나온다”고 강조됐다. AI 활용 경쟁이 본격화되는 지금, 금융권이 먼저 구축해야 할 것은 새로운 모델이 아니라 그 모델을 신뢰할 수 있게 만드는 ‘금융 AI 신뢰 인프라’라는 지적이 설득력을 얻고 있다. 

권선무 기자

[ⓒ데이터저널리즘의 중심 데이터뉴스 - 무단전재 & 재배포 금지]