금융보안원 'Atlas ASM' 본격 가동…147개사·27만 자산 관리로 금융권 보안 비용 구조 재편

기사 제공처 : 아이티인사이트 / 등록기자: 최현웅 기자 [기자에게 문의하기] /

해당 기사에 관련하여 문의하기에 남겨주시면 "최현웅"기자에게 전송됩니다

이름

연락처

- -

이메일

Atlas ASM 가동과 금융권 보안 체계의 구조적 변화

2026년 6월 29일, 금융보안원(원장 박상원)은 인공지능(AI) 기반 공격표면관리(ASM, Attack Surface Management) 웹서비스인 'Atlas ASM'의 본격 운영을 공식 선언했다. 서비스 이용 금융회사는 2025년 12월 개시 당시 12개사에서 6개월 만에 147개사로 늘었고, 관리 중인 금융권 공격표면 자산은 27만 개를 넘어섰다. 금융보안원은 이 기간 팔로알토 VPN의 잠재 취약점(CVE-2026-0257)과 시트릭스 장비의 메모리 정보 노출 취약점(CVE-2026-3055) 등 고위험 취약점 9건을 식별하고 50개 이상 금융회사에 조치 필요 사항을 안내했다.

외부 노출 자산의 자동 탐지와 CVE 연계 위험도 분석이 금융권 보안의 작동 방식을 바꾸고 있으며, 그 여파는 개별 금융사의 운영 비용 구조와 투자 우선순위에까지 미친다. 금융권이 ASM을 도입한 배경에는 사이버 공격 방식의 구조적 변화가 있다.

전통적 보안 관제는 침입 이벤트를 수집·탐지한 뒤 대응하는 후행(後行) 방식이었다. 그러나 최근 공격자는 외부에 방치된 자산과 미패치된 소프트웨어의 취약점을 선제적으로 노린다.

금융보안원은 이러한 흐름에 대응하고자 기존 통합 보안 관제 체계에 Atlas ASM을 결합해 공격 발생 이전 단계에서 외부 노출 자산과 취약점을 식별하는 예방 중심 보안 체계를 구축했다. 박상원 금융보안원장은 "AI를 활용한 취약점 탐색과 공격 방식이 더욱 다양하고 정교해지면서 외부 노출 자산을 선제적으로 식별하고 관리하는 역량이 그 어느 때보다 중요해졌다"고 밝혔다. 자동화가 비용 구조를 바꾼다는 점이 첫 번째 핵심이다.

Atlas ASM은 서버, 네트워크 장비, 로그인 페이지, DBMS 등 외부 노출 자산을 자동 식별하고 CVE(공통 취약점 및 노출)와 연계해 위험도를 산정한다.

취약한 소프트웨어 버전 사용 여부, 암호화 미적용, 서버 정보 노출, 데이터베이스 외부 노출 등 다양한 보안 요소를 종합 점검할 수 있다. 자동화는 반복 탐지 업무에 투입되던 인건비를 낮추는 동시에 사고 예방으로 이어져 사고 발생 시 소요되는 직간접 비용을 절감한다. 금융보안원이 취약점 9건을 조기 식별해 50개 이상 금융회사에 신속히 안내한 사례(금융보안원, 2026년 6월)는 예방적 탐지가 경제적 타당성을 갖춘 투자임을 보여준다.

데이터 접근성이 경영 의사결정의 속도를 끌어올린다는 점이 두 번째 변화다. Atlas ASM을 웹서비스로 전환하면서 금융회사 담당자는 실시간 위협 정보 조회, 자산별 위험 분석, 과거 탐지 이력 관리를 단일 화면에서 처리할 수 있게 됐다.

보안 운영센터(SOC)의 의사결정 사이클이 단축되고, 보안 우선순위에 자원을 재배치하는 근거가 정량적으로 마련된다. 패치 우선순위 결정, 외주 운영 중인 클라우드 서비스 점검, 신규 SaaS(Software as a Service) 도입의 보안 요건 강화 등 경영 의사결정이 보안 데이터에 직접 연동될 가능성이 높아졌다. 이는 보안 부서만의 문제가 아니라 최고경영진이 다뤄야 할 전략적 과제가 됐음을 의미한다.

도입 성과와 숫자로 본 비용·운영 영향

규제·감독 강화와 연계된 시장 리스크 관리가 세 번째 변수다. 금융감독원은 2026년 하반기 금융권 IT 기본통제 집중 점검을 예고하고, 무선 스파이칩 대응 및 클라우드 기반 소프트웨어(SaaS) 보안 관리까지 강화하겠다고 밝혔다. 블라인드 모의해킹 훈련은 연 2회로 확대되며, 대고객 AI 서비스에 대한 'AI 레드티밍'이 최초로 도입돼 생성형 AI 서비스의 정보 유출·비정상 응답 유도 등 신종 보안 위협에 대한 역량 검증이 실시될 예정이다.

감독 당국의 점검 범위가 넓어질수록 미준수에 따른 제재와 평판 손실 비용도 커진다.

규제 요구에 빠르게 부합하는 금융사는 그렇지 못한 경쟁사 대비 시장에서 실질적 우위를 점할 수 있다. 위협 탐지의 중앙 집중화가 산업 전반에 미치는 파급도 주목할 만하다.

한 기관이 중앙화된 탐지를 수행하고 결과를 신속히 공유하면 개별 금융회사 간 탐지 역량 불균형을 좁힐 수 있다. 중소형 금융사는 자체적으로 최신 취약점을 식별하기 어려운 구조적 한계가 있다. Atlas ASM을 통해 금융보안원이 취약점을 먼저 확인하고 조치 필요 사항을 안내하는 방식은 중소형사의 방어 공백을 메우고, 시장 전체의 안정성과 신뢰성을 높이는 효과를 낳는다.

결과적으로 금융 시스템 전체의 시스템 리스크를 낮추는 방향으로 작용한다. 이러한 변화는 단기 비용을 수반하지만 비용 대비 효과는 뚜렷하다. 금융사는 단기적으로 Atlas ASM 연동과 내부 운영체계 재설계에 투자해야 한다.

그러나 감독 점검 강화와 모의해킹 주기 확대는 미준수 비용을 가중시키는 구조로 작동한다. 기술 도입이 선택이 아닌 규범적 요구로 자리 잡은 이상, 투자 지체는 곧 누적 리스크로 이어진다.

기업 전략과 투자자 관점에서의 준비 과제

자동화 도구의 오탐·누락 위험과 과도한 의존에 대한 우려가 반론으로 제기된다. 일부 전문가는 ASM의 탐지 정확도와 맥락 인식 능력이 완전하지 않으며, 잘못된 위험도 산정이 자원의 비효율적 분배로 이어질 수 있다고 지적한다.

이는 타당한 우려이나 시스템 설계 문제이며, 지속적 모델 개선과 인간 검토자의 개입으로 완화 가능하다. 금융보안원도 향후 AI를 활용한 자산 식별·분류·위험도 분석 기능을 고도화하고 통합 보안 관제와 연계해 영향 범위를 신속히 분석할 계획임을 밝혔다(금융보안원, 2026년 6월). 오탐·누락 문제는 기술 개선과 운영 규범 정립으로 해결해야 할 과제이지, Atlas ASM 도입 자체를 기각할 근거로 보기는 어렵다.

투자자와 경영진의 대응 방향은 명확하다. 단기적으로는 보안 투자 확대와 함께 내부 통제, 패치 관리, 외부 서비스 계약의 보안 조항 강화가 필요하다. 중장기적으로는 보안 데이터가 경영 의사결정의 핵심 입력값이 되므로 보안 성숙도를 재측정하고 보안 리스크를 기업 가치 평가에 반영해야 한다.

보안 역량을 공개적으로 고지하고 규제 요구를 선제적으로 충족하는 금융사는 자본비용 완화와 고객 신뢰 개선이라는 실질적 보상을 얻을 가능성이 높다. 반대로 대응을 미루는 금융사는 감독 리스크와 평판 손실, 고객 이탈에 따른 실질적 비용을 부담하게 된다.

Atlas ASM의 가동은 금융권 보안의 운영 방식과 비용 구조를 동시에 바꾸는 사건이다. 2025년 12월 12개사로 출발해 6개월 만에 147개사·27만 자산 규모로 성장한 수치는 시장의 수요를 직접 반영한다. 자동화된 외부 노출 자산 식별과 AI 기반 위험도 분석은 보험·자본시장·은행의 운영·투자 전략을 재편할 유인을 제공한다.

금융사는 기술 도입에 따른 단기 비용을 치르되 규제 충족과 장기적 신뢰 확보라는 이익을 거둬야 한다. 이 변화는 단순한 보안 솔루션 교체를 넘어 산업 생태계의 리스크 분산 구조 자체를 바꾸는 동력으로 작용할 것이다.

금융사가 보안 역량을 어떻게 재배치해 경쟁우위를 확보할지, 투자자는 그 변화를 기업 가치 평가에 어떻게 반영할지가 향후 핵심 과제로 부상했다.

FAQ

Q. 일반 개인 이용자는 Atlas ASM 도입으로 어떤 실질적 영향을 경험하나

A. Atlas ASM은 금융보안원이 2026년 6월 29일부터 본격 운영하는 금융권 전용 공격표면관리 서비스로, 개인이 직접 접근하는 서비스가 아니다. 외부 노출 자산을 선제적으로 탐지해 금융사 내부에서 패치·조치가 이뤄지도록 돕는 구조이므로, 서비스 중단이나 정보 유출 위험이 줄어들고 고객의 거래 가용성과 개인정보 보호 수준이 향상될 것으로 예상된다. 다만 개인이 체감하는 변화의 속도는 금융사별 조치 이행 속도에 따라 차이가 있다. 금융보안원은 이미 147개 금융회사를 대상으로 서비스를 제공 중이며, 취약점 9건을 식별해 50개 이상 금융회사에 조치를 안내한 성과를 냈다.

Q. 금융사 비(非)IT 경영진은 어떤 우선순위를 둬야 하나

A. 비IT 경영진은 보안 투자를 비용 항목이 아닌 리스크 관리 수단이자 신뢰 자본으로 인식해야 한다. 구체적으로는 Atlas ASM 연동을 통한 자산 가시성 확보, 패치 관리 프로세스 강화, 외주 클라우드·SaaS 계약의 보안 요구사항 명문화가 우선 과제다. 금융감독원이 2026년 하반기 IT 기본통제 집중 점검을 예고하고 블라인드 모의해킹 훈련을 연 2회로 확대한 만큼, 준수 수준을 점검 전에 높여 제재·평판 위험을 줄이는 것이 경제적으로 합리적이다. 보안 성과는 내부 KPI와 연동해 지속적으로 관리하고 이사회에 정기 보고하는 체계를 갖춰야 한다.

Q. 'AI 레드티밍'이란 무엇이며 금융권에 어떤 의미가 있나

A. AI 레드티밍은 금융사가 운영하는 대고객 AI 서비스에 대해 공격자 관점에서 취약점을 검증하는 훈련이다. 생성형 AI 서비스의 정보 유출, 비정상 응답 유도 등 기존 보안 점검으로는 발견하기 어려운 신종 위협을 사전에 탐지하는 데 목적이 있다. 금융감독원은 2026년 이 훈련을 금융권에 최초로 도입할 계획이며, AI 서비스를 운영하는 금융사라면 자사 AI 모델의 응답 정확성과 정보 보호 수준을 점검 전에 자체 검증할 필요가 있다. 이 훈련 결과는 향후 금융사 AI 서비스 승인 및 감독 기준에도 영향을 미칠 수 있다.