AI 시대의 금융 규제 변화와 기회, 그리고 대응 전략 최근 금융권의 망분리 규제 완화와 AI 도입 가속화에 발맞춰, AWS는 안정적 인프라 투자와 정책 지원으로 금융사의 디지털 혁신과 연속성 확보를 돕습니다. 본 세션에서는 변화하는 규제 환경과 기회를 살펴보고 실질적 대응 전략을 공유합니다. 장광운 Specialist SIG FSI KR & JP, AWS

1. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
장광운
Regulatory & Security Compliance Lead, KR & JP
AWS
1
AI시대의금융규제변화와기회,
그리고대응전략

2. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. 2
Where to start?

3. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Agenda
3
금융규제 현황
전자금융감독규정 개정
AI 규제 시사점
규제 전망과 대응 전략

4. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
금융 규제 현황
4

5. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
5
2 0 1 1
'금융회사 IT보안 강화
종합대책(CISO 지정 의무화)
2 0 1 3
3.20 사이버테러 후속대책
(망분리, FDS 구축)
2 0 2 3
SaaS 금융규제
샌드박스 도입
2 0 1 8
금융권 클라우드 이용 확대
방안(중요정보처리 허용)
2 0 1 9
금융혁신지원 특별법
시행
2 0 2 4
망분리 개선 로드맵
발표(GenAI 샌드박스)
정책의 시대적 변화

6. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
금융규제 현황 – 클라우드 이용
6
법적 근거 • 전자금융감독규정 제14조의2 (클라우드컴퓨팅서비스 이용절차)
이용 절차
1. 이용업무의 중요도 평가
2. CSP 건전성 및 안전성 평가 (금보원 대표평가 결과 활용 가능)
3. 업무 연속성 계획 및 안전성 확보조치의 수립ㆍ시행
4. 정보보호위원회의 심의ㆍ의결
금융감독원 보고 • 신규 이용 계약 체결, 신규 업무 처리하는 경우(2025.2.5.) 3개월 이내 금감원 보고
국내 위치 클라우드 이용 • 고유식별정보 또는 개인신용정보 처리 시
금융보안원 대표평가
• 2023부터 CSP에 대한 중복평가 방지 위해 도입 (2024년 총 19개 CSP 평가)
• 금보원 ‘CSP 안전성 평가 통합지원시스템’을 평가 결과서 공유

7. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
7
SaaS 생성형 AI
법적 근거
• 금융혁신지원 특별법 (2019.4.1 시행), 망분리 특례
• (2단계) 전자금융감독규정 개정을 통한 정규 제도화
규제 샌드박스
프로세스
샌드박스 신청 >> 혁신서비스 심사 >> 제공자 안전성 평가/이용자 보안대책 이행 점검 >>
서비스개시
데이터범위
• 가명처리된 개인신용정보 허용
• (2단계): 1단계 성과검증과 보안평가 후, 추가 보안대책 전제 실제 개인신용정보 처리 허용
해외소재 서비스 이용 • 개인신용정보 처리하지 않을 경우 가능
규제특례 내용
• 전자금융감독 제 15조 제1항
제3호(업무망)
• 전자금융감독규정 제15조 제1항 제3호(업무망)
및 제5호(전산실)
• SaaS와 생성형AI 결합 서비스는 전산실(5호망)
연계 신청 불가
업무 유형
• 협업도구, ERP, 보안, 고객관리,
업무자동화 등 (2024.8. 전 업무로 확대)
금융규제 현황 – 혁신금융서비스 규제 샌드박스

8. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
전자금융감독규정 개정
8

9. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
구분 내부업무망(3호망) 전산실(5호망) 연구 · 개발망 인터넷망
수행
업무
문서 작성, 인트라넷 접속,
민원 등 사무 업무
운영, 보안 관련 업무 개발(코딩, 테스트) 및 AI,
SaaS를 활용한 연구 ·
개발
인터넷 검색, email 확인
등
연구 · 개발 분야 망분리 개선
9
연구 · 개발분야 주요 개선 내용:
• (망간 이동 편의 확대) 내부업무망간 논리적 망분리, 소스코드 등 연구 개발물의 망간 이동 허용
• (재택근무 허용) IT개발자 등의 재택근무 가능
• (가명정보 허용) 가명처리한 개인신용정보 가능 (2024년)
논리적 망분리 허용
소스코드 등 개발산출물 망간 전송 허용
출처: 전자금융감독규정시행세칙, [별표7] 망분리 대체 정보보호통제

10. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
10
연구 · 개발 분야 망분리 개선
출처: 연구 · 개발 목적의 망분리 예외 적용에 따른 보안 해설서, 2025.4., 금융보안원
연구 · 개발망 구성 절차
① 연구 · 개발망 활용범위 판단
② 자체 위험성 평가
③ 정보보호통제 및 추가 보호대책 적용
④ 정보보호위원회 의결
ü 연구･개발 목적 외 대고객 금융서비스,
임직원 대상 업무 처리 서비스 등 실제
업무처리 불가
ü 클라우드 환경에 연구ㆍ개발망을 구축할
경우 전자금융감독규정에서 정한
클라우드 이용 관련 사항 준수 필요

11. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
11
연구 · 개발 분야 망분리 개선
재택근무를 통한
개발자 근무환경 개선
SaaS, Github,
오픈소스 등 활용
클라우드 환경에 연구
· 개발망 구축 가능
GenAI 활용한 개발
생산성 향상

12. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
정보보호위원회 주요 심의 · 의결사항 이사회 보고
12
제8조의2(정보호보위원회 운영) ④ 정보보호최고책임자는 정보보호위원회 심의ㆍ의결사항을 최고경영자에게 보고하여야
하며, 정보보호최고책임자가 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미친다고 판단하는 심의ㆍ의결사항에
대해서는 이사회에 보고 하여야 한다. <개정 2025. 2. 5.> : 2025.8.5. 적용
보고대상 예시
정보보안에 관한 목표ㆍ전략 및
계획 수립에 관한 사항
• 정보기술부문 계획서(정보보호 예산ㆍ조직, 주요 보안 사업 계획 등)
• 중장기 정보보안 전략 및 계획, 정보보안관련 중요 내규에 관한 사항
정보보안 리스크 평가 및 대응
조치에 관한 사항
• 전자금융기반 시설 취약점 분석ㆍ평가 및 이행 계획
• 망분리 예외 승인 현황 및 이에 따른 보안 조치 현황 (전체 현황 및 주요 사항에 한정)
• 감독 당국의 정보보안법규 관련 제재 등 조치에 관한 사항
• 전사 정보보안 리스크 평가 결과 및 위험 항목에 대한 조치방안
침해사고 및 개인정보 유출 등
정보보안 사고에 관한 사항
• 침해사고 및 정보 유출사고 현황ㆍ원인 및 대응방안
• 침해사고 및 정보 유출사고 관련 소비자 구제 및 대응방안
클라우드 등 제3자 리스크 관리에
관한 사항
• 클라우드 이용(생성형 AI SaaS 포함)에 관한 보안대책, 업무 연속성 확보, 위험관리, 종료전략 등
제3자 리스크 관리 방안 수립ㆍ이행 현황
v 정보보호위원회 심의ㆍ의결사항 중에서 CISO가 이사회에 보고해야 하는 사항의 예시
출처: 전자금융감독규정 해설, 2025.8., 금융감독원

13. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
13
① 정보보안에 관한 목표ㆍ전략 및
계획 수립에 관한 사항
② 정보보안 리스크 평가 및 대응
조치에 관한 사항
③ 침해사고 및 개인정보 유출 등
정보보안 사고에 관한 사항
④ 클라우드 등 제3자 리스크 관리에
관한 사항
정보보호 관련 이사회 보고 주요
원칙사항
① 조직의 정보보안 수준(예,
전자금융기반시설 취약점 분석ㆍ평가
종합등급 등)
② 동종업계 또는 타사 대비 정보보안
수준 비교(예산 및 인력 등 공시된 자료
등을 활용)
③ 주요 보안 리스크 내역 및 조치계획
④ 보안 리스크 미조치에 따른 예상 손실
및 리스크 경감방안
⑤ 보안 리스크 경감을 위한 필요 사항
이사회의 효율적인 의사결정을
위해 보고 시 포함 필요사항
① 사유 발생 후 최초 이사회, 최소 연 1회 보고
② CISO가 직접 대면 보고 원칙
③ 이사회 보고 범위, 시기 등 내규 반영
이사회 보고 시기 및 방법
출처: 전자금융감독규정 해설, 2025.8., 금융감독원
• 이사회의 금융보안에 대한 책임과 역할 강화
• 이사회가 회사의 정보보호수준 인식, 적절한 의사결정을
위한 정보 제공
정보보호위원회 주요 심의 · 의결사항 이사회 보고

14. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
14
정보보호위원회 주요 심의 · 의결사항 이사회 보고
「 금융회사 사외이사 대상 금융보안 안내 프로그램 」
• 금융보안원은 사외이사들이 보안을 경영의 핵심 요소로
인식하고 균형감 있는 의사결정을 내릴 수 있도록 전문적이고
체계적인 프로그램을 제공
구분 방문 설명 콘텐츠 제공
방식 • 전문가 방문 설명
• 동영상, 가이드북,
카드뉴스, 숏폼 등 제공
신청 사원기관 • 신청 사원기관 • 전체 사원기관
시기
• 8월 말까지 신청
• 9월 본격 실시
• 8월 말 배포(예정)
프로그램 주요내용
ü 금융 환경 변화와 정책 동향
ü 이사회가 금융보안에 주목해야 하는 이유
ü 사외이사가 검토해야 할 핵심 체크포인트
ü 전문가의 제언 등으로 구성
출처: 금융보안원 보도자료, 2025.7.30.

15. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
AI 규제 시사점
15

16. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
인공지능 발전과 신뢰 기반 조성 등에 관한 기본법
16
인공지능사업자
• 인공지능개발사업자
• 인공지능이용사업자
고영향 인공지능
관련 사업자 의무
생성형 인공지능
관련 사업자 의무
• 사전검토의무(제33조)
• 사전고지의무(제31조 제1항)
• 안전성 · 신뢰성 확보조치
이행의무(제34조)
• 영향평가(제35조)
• 설명요구권(제3조 제4항)
• 사전고지의무(제31조 제1항)
• 표시의무(제31조 제2항)
• 딥페이크 고지 · 표시
의무(제31조 제3항)
고영향 인공지능: 사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는
AI시스템 (예컨대 의료기기의 개발 및 이용, 채용 · 대출 심사 등 개인의 권리·의무 관계에 중대한 영향을 미치는
판단 또는 평가, 교육에서의 학생 평가 등에 활용되는 AI시스템)(제2조 제4호)
2024.12.26 국회 통과, 2026.1.22. 시행, 시행령 및 5개 가이드 9월 공개 예정
과기부 사실조사 및
중지 · 시정 명령
• 위반사항 발견하거나 혐의,
위반에 대한 신고나 민원
접수 시 조사
• 위반사실 인정 시 중지나
시정명령

17. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Transparency
Governance
Privacy & Security
Explainability Robustness
Fairness Safety
Controllability
AWS Responsible AI Demensions

18. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
규제 전망과 대응 전략
18

19. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
규제 전망과 대응 전략
19
망분리 점진적 완화
• SaaS, GenAI 정례화
• 개인신용정보처리
허용(2단계)
원칙중심 규제 전환
• 자율보안 토대 마련
• 유연한 보안대응
보안 책임 강화
• 이사회 책임, 역할
• CISO 권한 강화
AI 새로운 규제
• 규제 준수 전략 수립
• Responsible AI 고려

20. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
20
위험 기반 전략적 의사결정
Move fast & stay secure

21. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
21
위험 관리 역량 강화를 위한 제언
1. AI 보안 및 규제 대응, 작은 단위부터 시작
2. 위험관리 및 내부통제 프레임워크 강화
3. 위험관리를 위한 AI 활용

22. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Country, territory, or region specific laws
(e.g. Korea AI Act, EU AI Act, etc... )
ISO 42001, ISO27090, ISO38507, …
NIST AI 600-1
MITRE ATLAS mitigations
규제
(non-negotiable)
위협 완화 가이던스
보안 및 위험관리
프레임워크
GenAI Lens AWS Well-Architected Framework
OWASP Top 10 for LLM Applications
OWASP LLM AI Cybersecurity and
Governance Checklist
Application
A
Application
B
Application
C
Application
D
Application
….
컴플라이언스 표준
(Business requirements)
생성형 AI 기반
어플리케이션
NIST AI Risk Management Framework
생성형 AI 관련
AI 보안 및 규제 대응, 작은 단위부터 시작

23. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
23
출처: IT감사 가이드라인, 금융감독원
효과적인 위험관리 및 내부통제 프레임워크
Three Lines of Defense (3선 방어 체계)
금융감독원, 「IT 감사 가이드라인」
• 자율적, 체계적 IT리스크 관리
• 경영진 의사결정 지원
• 위험 기반 점검 및 적용

24. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
효과적인 위험관리 및 내부통제 프레임워크
Three Lines of Defense (3선 방어 체계)
24
Management (경영진)
조직의 목표달성을 위한 의사결정
Internal Audit
독립적 보증
FIRST LINE
비즈니스 부서
IT개발 및 운영
오퍼레이션
SECOND LINE
보안 / QA
Risk & Control
컴플라이언스
THIRD LINE
내부 감사
EXTERNAL
ASSURANCE
PROVIDERS
Governing body (지배기구)
조직의 방향과 전략 설정, 최종 책임
이사회, 감사위원회, 최고경영진
출처: Three Lines of Defense model, IIA 2020
목표 조율,
원활한 소통,
효과적인 조정,
협력
권한 위임, 전략적 지침,
자원 지원, 감독
책임 이행, 보고

25. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
25
for
risk management

26. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
결론
26

27. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
27
Move fast Stay secure
AI 시대 조직의
생존과 성공에
필수적

28. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
｀
28
AI 시대의 금융 규제 변화와 기회, 그리고 대응 전략
Staying Ahead of Tomorrow with AWS

29. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Thank you!
© 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark.
장광운
brjang@amazon.com