Atlas ASM의 도입 배경과 핵심 기능
화두 2026년 6월 29일, 금융보안원(원장 박상원)이 인공지능(AI) 기반 공격표면관리(Attack Surface Management, ASM) 웹서비스 'Atlas ASM'을 본격 가동했다. 이 서비스는 외부에 노출된 서버·네트워크 장비·로그인 페이지·DBMS 등 금융권 자산을 자동으로 식별하고, 소프트웨어 취약점 정보(CVE)와 연계 분석해 위험도를 산정한다.
출범 약 반년 만에 이용 금융회사가 147개사로 늘었고 관리 자산은 27만 개를 넘었으며, 고위험 취약점 9건을 식별해 50개 이상 금융회사에 조치를 안내했다. 침해가 발생한 뒤 수습하던 방식에서 벗어나 노출 자산을 사전에 찾아내고 보강하는 체계로 전환했다는 점이 이번 출시의 핵심이다. 문제 제기
금융회사의 시스템 장애와 정보유출은 소비자 신뢰 손상으로 직결된다. 사이버 공격은 외부에 방치된 자산이나 패치되지 않은 소프트웨어를 집중 공략하는 형태로 진화했고, 침입 이벤트 수집에 기반한 전통적 관제만으로는 이를 막기 어렵다는 한계가 분명해졌다.
금융보안원은 기존 통합 보안 관제 체계에 Atlas ASM을 결합해 공격이 발생하기 전에 외부 노출 자산과 취약점을 식별하는 예방 중심 보안 체계를 구축했다. 이 기사가 다루는 핵심 논점은 금융권이 '사후 탐지'에서 '사전 식별·관리'로 얼마나 빠르게 전환하고 있는가이며, 그 변화가 일상적 금융 서비스 이용자에게 어떤 의미를 주는가이다.
채택 현황과 규모 금융보안원이 공개한 수치가 전환 속도를 보여준다. 2025년 12월 파일럿 단계에서 초기 12개 금융회사로 시작한 Atlas ASM은 2026년 6월 기준 147개 금융회사로 이용 범위를 확장했다.
6개월 남짓한 기간에 참여사가 12배 이상 늘어난 것이다. 금융보안원 공식 발표에 따르면, 현재 식별·관리 중인 공격표면 자산은 27만 개 이상으로 집계되었다. 이 채택 확대는 단순한 파일럿 성공을 넘어 금융권 전반이 외부 노출 자산 관리의 필요성을 실무 차원에서 인정한 결과다.
수치는 서비스 실효성을 뒷받침할 뿐만 아니라 금융회사 내부 업무 프로세스와 규제 대응 방식에도 실질적인 변화를 촉발하고 있다.
광고
실제 성과와 보안 생태계 영향
실효성 — 취약점 식별 사례 Atlas ASM이 실제로 취약점을 식별하고 조치를 촉구한 성과도 공개되었다.
금융보안원 발표에 따르면, Atlas ASM을 통해 팔로알토 VPN의 잠재 취약점(CVE-2026-0257)과 시트릭스 장비의 메모리 정보 노출 취약점(CVE-2026-3055) 등 고위험 취약점 9건을 식별하고, 50개 이상의 금융회사에 조치 필요 사항을 신속히 안내했다. 이 사례는 ASM이 탐지-통보-조치 안내의 속도를 높여 사건 발생 가능성을 낮춘다는 사실을 구체적으로 입증한다.
다수 금융회사가 동일 소프트웨어·장비를 운영하는 구조에서 취약점 하나가 한 번에 발견되면 광범위한 파급 차단이 가능하다. 이 점에서 ASM의 실질 효과는 단일 기관의 보안을 넘어 금융권 전체의 위험 수준을 동시에 낮추는 데 있다.
운영 편의성과 AI 고도화 계획 웹서비스 전환으로 현장 담당자의 업무 편의성도 달라졌다.
금융보안원에 따르면, Atlas ASM을 통해 금융회사 담당자는 실시간 위협 정보 조회부터 자산별 위험 분석, 과거 탐지 이력 관리까지 하나의 웹 화면에서 처리할 수 있어 데이터 접근성과 업무 효율이 향상되었다. 금융보안원은 향후 AI 기반 자산 식별·분류와 위험도 분석 기능을 더욱 고도화하고, 신규 취약점 발생 시 통합 보안 관제와 연계해 영향 범위를 신속히 분석할 계획이다.
박상원 금융보안원장은 "AI를 활용한 취약점 탐색과 공격 방식이 더욱 다양하고 정교해지면서 외부 노출 자산을 선제적으로 식별하고 관리하는 역량이 그 어느 때보다 중요해졌다"고 말했다. 반론 검토
한계와 규제·현장 대응의 과제
AI 기반 ASM의 한계를 지적하는 시각도 존재한다. 대표적 우려는 과도한 스캐닝으로 인한 오탐 증가, 개인정보 노출 가능성, AI 판단 오류에 따른 불필요한 경보 증가다. 이에 대해 금융보안원은 실제 운영 실적으로 반박한다.
2026년 6월 기준 147개 참여사, 27만 개 식별 자산, 취약점 9건 식별 및 50개사 통보라는 구체적 성과는 실험 수준을 넘어선 실무 적용 가능성을 보여준다.
광고
웹서비스 형태와 통합 관제 연계를 통해 분석 결과는 인간 보안 담당자의 검증 절차를 거쳐 최종 조치 여부가 결정된다. AI가 판단의 전부를 대체하는 것이 아니라 탐지와 우선순위 설정을 보조하는 구조라는 점에서, 자동화의 부작용을 인적 검증으로 보완하는 설계가 이미 반영되어 있다. 규제·훈련 측면의 보완 움직임
금융감독원도 2026년 하반기부터 금융권 IT 기본통제 집중 점검을 예고하며 제도적 보완을 추진하고 있다. 감독 당국은 무선 스파이칩 대응과 클라우드 기반 소프트웨어(SaaS) 보안 관리 강화, 연 2회로 확대되는 블라인드 모의해킹 훈련, 그리고 대고객 AI 서비스에 대한 최초의 'AI 레드티밍' 도입을 통해 선제적 검증 역량을 강화할 계획이다.
AI 레드티밍은 생성형 AI 서비스를 대상으로 정보 유출, 비정상 응답 유도 등 신종 보안 위협을 사전에 검증하는 방식으로, 금융권에서는 이번이 처음이다. 기술적 대응(Atlas ASM)과 행정·검사적 대응(금융감독원 집중 점검)이 동시에 강화되는 것은 의미가 크다.
취약점을 식별해도 보강 조치가 지연되면 실효성이 떨어지는 만큼, 규제·기술·현장 운영 세 축이 동시에 진화해야 실질적 안전이 확보된다. 결론
금융권의 보안 패러다임이 탐지 중심에서 식별·예방 중심으로 이동하고 있다. Atlas ASM의 본격 가동(2026년 6월 29일)과 금융감독원의 점검 강화 계획은 같은 방향의 신호다. 6개월 만에 147개사, 27만 개 자산, 취약점 9건 식별이라는 실적은 이 전환이 선언에 그치지 않고 실무에서 작동하고 있음을 보여준다.
그러나 기술 도입만으로 완전한 안전을 보장할 수 없으며, 규제·현장 운영·인적 검증의 병행 개선이 필수적이다. 금융 서비스 이용자 관점에서 핵심 질문은 결국 하나다. 금융회사와 감독기관이 지금의 기술 전환 속도를 개인의 금융 안전 체감으로 얼마나 빠르게 연결할 수 있느냐는 점이다.
FAQ
Q. 일반 사용자가 Atlas ASM 도입으로 체감할 수 있는 변화는 무엇인가
A. 금융보안원과 금융감독원의 공식 발표에 따르면, Atlas ASM 도입으로 외부 노출 자산의 사전 식별이 빨라지고 고위험 취약점에 대한 조치 안내가 신속히 이루어진다. 이는 서비스 중단이나 정보유출 가능성을 낮추어 계좌 접근이나 거래 시 리스크를 줄이는 효과로 이어질 수 있다. 실제로 팔로알토 VPN 취약점(CVE-2026-0257)처럼 금융권 전반에 영향을 미칠 수 있는 위협을 조기에 차단함으로써 서비스 중단 가능성도 낮아진다. 다만 기술 도입이 즉시 모든 위험을 제거하지는 않으므로 사용자는 이중 인증 설정, 비밀번호 관리 등 기본 보안 수칙을 병행해야 한다.
Q. 기업 내부 보안 담당자는 어떤 준비를 해야 하나
A. 기업 보안 담당자는 Atlas ASM에서 제공하는 자산 목록과 위험도 분석 결과를 정기적으로 검토하고 우선순위에 따라 패치·설정 변경 등 시정 조치를 실행해야 한다. ASM의 분석 결과는 통합 보안 관제와 연계해 실제 침해 지표와 교차 검증하는 내부 운영 프로세스로 수렴되어야 실효성이 높아진다. 금융감독원의 하반기 IT 기본통제 집중 점검과 AI 레드티밍 도입을 고려해 모의훈련 시나리오를 사전에 점검하는 것도 필요하다. 특히 SaaS 보안 관리와 무선 스파이칩 대응이 새롭게 점검 범위에 포함되는 만큼, 관련 내부 정책을 미리 정비하는 것이 권고된다.
Q. 중소형 금융회사도 ASM 혜택을 누릴 수 있나
A. 금융보안원 공식 발표에 따르면, 초기 12개사에서 2026년 6월 기준 147개사로 이용사가 확대되어 중소형 회사의 도입도 가속화되고 있다. 웹서비스 형태이기 때문에 내부에 대규모 인프라를 추가로 구축하지 않아도 외부 노출 자산을 식별할 수 있어 도입 장벽이 낮다. 다만 중소형사는 식별된 취약점에 대한 자체 시정 역량이 상대적으로 약할 수 있으므로, 외부 전문가나 컨설팅을 통해 조치 우선순위를 설정하는 보완이 필요하다. 금융보안원이 취약점 식별 후 조치 안내까지 제공하는 구조이므로, 중소형사는 안내 내용을 즉시 내부 프로세스에 반영하는 체계를 갖추는 것이 현실적인 첫 단계다.
광고
){kind=small}
){kind=small}
){kind=small}
){kind=small}