자료실
정책 브리프
일본, 금융부문 AI 사이버위협 대응 단기대책 초안 공개…관민 워킹그룹 출범 및 선제적 시스템 정지 옵션 검토
- 작성자 ec21rnc
- 등록일 2026.05.28
◆ 핵심 요약
•일본 금융청은 지난 5월 ‘AI 관련 위협에 대비한 금융부문 사이버보안 강화 민관협의회’ 산하 워킹그룹의 첫 회의를 개최하고, 인공지능(AI) 모델을 악용한 사이버공격에 대비하기 위한 ‘단기 대책’ 초안을 제시함
•초안은 금융기관 경영진이 우선순위 서비스 및 정보기술(IT) 시스템을 선제적으로 정지시키는 선택지를 검토하도록 권고하고, 한정된 자원을 핵심 시스템에 집중하는 리스크 기반 접근법(risk-based approach)을 제시한 점이 특징임
◆ 이슈 개요
•일본 금융청(FSA)은 앤트로픽이 지난 4월 발표한 첨단 AI 모델 ‘미토스(Mythos)’가 시스템 취약점을 자율적으로 탐지하는 능력을 보유한 것으로 알려지면서, 이를 악용한 금융 부문 사이버공격 가능성에 대한 우려를 정책 대응의 출발점으로 삼음
•이에 따라 FSA는 4월 카타야마 사쓰키 금융담당대신 주재로 일본은행(BOJ)와 주요 시중은행, IT기업 등이 참여한 민관협의회를 발족하였으며, 협의회 산하 실무 논의 기구로서 워킹그룹이 5월 14일 첫 회의를 개최함
•일본 금융기관은 그간 고객 자산을 수탁한다는 특성상 시스템의 안정성과 무중단 운영을 최우선 가치로 견지해 왔으나, 첨단 AI에 따른 위협 환경 변화로 기존 운영 사고체계의 전환이 불가피하다는 인식이 제기됨
•단기 대책 초안은 이러한 정책 흐름 아래에서 도출된 결과물로, 금융청은 이를 토대로 중장기 대책도 함께 수립할 계획임
◆ 주요 내용 상세
선제적 시스템 정지 옵션의 제도화 권고
단기 대책 초안은 사이버공격 위험이 충분히 통제되지 않을 가능성을 전제로, 금융기관 경영진이 우선순위 서비스 및 IT 시스템의 가동을 자율적 판단에 따라 정지시킬 수 있는 선택지를 검토하도록 권고함
•이를 위해 금융기관에 시스템 정지의 내부 기준과 의사결정 절차를 명문화하고, 업무 연속성 계획*·고객 응대 절차를 재점검할 것을 주문함
* 업무 연속성 계획(Business Continuity Plan, BCP): 재난·장애 등 비상 상황 발생 시 핵심 업무를 중단 없이 지속하거나 신속히 복구하기 위한 절차·기준·체계를 사전에 정의한 계획
•일본 금융권에는 예기치 못한 시스템 중단을 ‘어떠한 비용을 치르더라도 회피해야 한다’는 인식이 고착되어 있어 일정 수준의 시스템 중단을 수용하는 사고 전환이 필요함이 강조됨
리스크 기반 접근법과 자원 집중 원칙
단기간에 대량의 취약점이 발견될 경우를 상정하여, 초안은 인적·기술 자원을 핵심 시스템에 집중하는 리스크 기반 접근법을 권고함
•첨단 AI 모델은 단기간에 다수의 시스템 취약점을 탐지할 수 있어, 공격이 실행까지의 준비 기간(lead time)이 대폭 단축될 수 있다는 점이 초안에서 지적됨
•미국 측에서는 앤트로픽 주도로 산업 횡단적 이니셔티브인 ‘프로젝트 글래스윙*’이 결성되어, 미토스가 탐지한 취약점에 대한 소프트웨어 패치를 배포할 예정
* 프로젝트 글래스윙(Project Glasswing): 고성능 AI 모델이 보안 취약점을 공격하는 무기로 변질되기 전에 AI를 활용해 핵심 소프트웨어들을 선제적으로 보호하기 위해 출범한 민관 협력 프로젝트로, 클로드 미토스 프리뷰가 발견한 소프트웨어 취약점에 대한 패치를 개발·배포하고, 약 50개의 검증된 방어 목적 사이버보안 기관에 제한적 접근권을 부여
•단기간에 대량의 취약점이 발견될 경우 패치 적용에 따른 금융기관의 업무 부담이 과중해질 수 있다는 우려가 제기되었지만, IT 인력을 급히 증원하는 방식은 현실적이지 않다고 평가함
•이에 따라 초안은 금융기관이 우선적으로 보호해야 할 서비스와 IT 시스템을 특정하고 한정된 자원을 집중 투입하는 리스크 기반 접근법을 권고함
경영진 책무 및 거버넌스 강화
초안은 첨단 AI 위협 대응을 전사적 과제로 다루기 위해서는 경영진의 확고한 의지가 필수적이며, 부서 간 협력 체계 구축이 전제되어야 함을 명시함
•워킹그룹은 단기 대책뿐만 아니라 금융기관에 요구되는 중장기 대책의 정리·체계화도 함께 추진할 예정임
◆ 향후 정책 추진 방향 및 국제 협력 동향
단기 대책 이후의 정책 추진 일정
•워킹그룹은 단기 대책에 이어 금융기관에 요구되는 중장기 대책의 정리 작업을 지속할 예정이며, 첨단 AI 기술 발전에 따른 위협에 대해 금융업계, IT 기업, 정부, 일본은행 등 관계자가 공통의 인식을 형성하고 대응을 함께 검토하는 실무 논의 체계로 운영됨이 공식 입장으로 명시됨
•카타야마 금융담당대신은 기자회견에서, 워킹그룹이 G7 재무장관 회의 등 국제 정책 협의의 연장선상에서 운영될 것이며, 후속 회의에서 베센트(Bessent) 미국 재무장관과의 추가 협의가 예정되어 있다고 밝힘
국제 공조 체계 형성 동향
•미국 정부는 앤트로픽을 비롯한 오픈AI(OpenAI), 구글(Google) 등 첨단 AI 보유 기업과 일정 수준의 상호 이해 및 협력 관계를 구축해 왔으며, 일본 측과는 미국이 보유한 관련 정보를 공유하면서 협력하는 방향으로 진행 중인 것으로 공식 명시됨
•일본 정부는 5월 국가사이버통괄실 주도로 정부 차원의 AI 사이버보안 대책 패키지인 ‘Project YATA-Shield’를 정리하였으며, 내각관방 국가안전보장국, 경찰청, 금융청, 디지털청, 총무성, 경제산업성, 방위성 등 14개 부처·기관이 참여하는 국가 단위 대응 틀로 운영됨
•동 패키지에 따라 금융청과 일본은행은 전 금융기관을 대상으로 일정 기간 내 우선 대응을 요청하는 등, 관민 협의회·워킹그룹 차원의 논의가 정부 전반의 대응 체계와 연동되는 구조가 형성됨
※ 본 보고서의 내용은 해외금융협력협의회의 공식 입장이나 견해를 대변하지 않습니다.
- 다음글 필리핀 중앙은행, 경기대응완충자본 제도 'PN-CCyB' 도입 의결…위기 대응 위한 장기적 버퍼 마련
- 이전글 싱가포르, 아시아 기후전환금융 종합방안 발표…전환금융 파트너십(FAST-P) 확대 및 적응·복원력(A&R) 금융 본격화