图片来源:ChatGPT生成

随着被认为具备自主策划并实施黑客攻击潜力的高性能AI“MYTOS”引发关注,韩国金融业对AI网络安全风险的警惕明显升温。韩国金融监管部门判断,一旦AI驱动的网络攻击成为现实,现有安全体系恐难以充分应对。基于这一判断,监管层决定率先放宽金融业对安全防护AI应用的网络隔离限制,并明确将研究对安全能力和AI应用能力较强的金融机构豁免相关要求。市场普遍认为,这一动向可能成为韩国金融业AX(AI转型)的关键节点。

韩国金融委员会近日在副委员长Kwon Dae-young主持下召开“高性能AI相关金融业安全威胁应对座谈会”,并公布上述政策方向。

此次政策讨论的起点,是围绕MYTOS等高性能AI的风险评估。韩国金融委员会表示,这类高性能AI不仅可能发现传统漏洞扫描工具难以识别的陈旧漏洞,还可能演进到能够自行策划并实施黑客攻击的水平。

长期以来,韩国金融业的安全防护主要依赖人工排查漏洞和监测攻击行为。但在AI可能成为攻击主体的情况下,现有防御机制在响应速度和覆盖范围上都面临挑战。韩国金融委员会表示,自今年4月起,监管部门已连续召开风险检查会议和应急响应小组会议,讨论相关应对方案。

不过,监管层并未仅将MYTOS视为风险来源。其判断是,如果将原本可能被用于攻击的AI转而用于防御,将有助于显著提升漏洞发现、威胁识别和入侵响应能力。

争议的核心,在于韩国金融业现行的“망分离”制度,也就是网络隔离要求。该制度要求金融机构将业务网络与互联网进行物理或逻辑隔离,以降低遭受黑客攻击的风险。虽然这一制度被认为在提升金融业整体安全水平方面发挥了作用,但也长期因限制生成式AI和云端安全方案应用而受到质疑。

在此背景下,韩国金融委员会决定,率先对“用于安全防护的AI应用”实施限时放宽。适用对象包括总资产超过10万亿韩元、常驻员工超过1000人,并配备专职首席信息安全官(CISO)的金融机构。韩国金融委员会预计,约有49家机构符合申请条件。获准机构可开展高性能AI漏洞测试,并引入安全SaaS服务等方案。监管部门还计划通过分阶段审查,逐步扩大适用范围。

相比阶段性放宽,更受市场关注的是监管层的另一项表态。韩国金融委员会在此次发布中称,还将研究对具备较高安全能力和AI应用能力的金融机构豁免网络隔离要求。

此前,为扩大生成式AI应用和推动业务创新,韩国金融业一直呼吁调整网络隔离制度。而此次监管部门首次明确释放“研究豁免”的政策信号,被业界视为少见的方向性表态。随着监管口径出现变化,金融机构也在加快推进AI安全体系建设。

金融机构加码“以AI应对AI”安全体系

KB Financial表示,为应对超高性能AI带来的网络威胁,集团正以“用AI应对AI攻击”为原则,强化一体化安全体系。

据介绍,KB Financial目前已搭建由自研AI代理和外部专业机构AI共同支撑的实战型模拟黑客攻击体系,并建立了AI代理与RPA结合的24小时安全监控体系。同时,该集团还设立了“集团网络安全中心”,并完成集团云环境零信任安全体系三阶段建设。

Shinhan Financial也已在资产脆弱性检查和模拟黑客攻击流程中引入自研AI诊断工具,以应对网络入侵风险。

Shinhan Financial表示,公司已应用ASM(攻击面管理)、CTI(网络威胁情报)和暗网探测等技术,并通过安全运营自动化实时识别和分析最新威胁及漏洞信息。此外,基于Shinhan Bank参与韩国科学技术信息通信部与韩国互联网振兴院(KISA)零信任试点项目所取得的成果,集团正推动相关安全模型在更大范围内落地。

Hana Financial同样在推进AI安全能力建设,包括对外部暴露系统开展实时漏洞检测、运行零信任安全体系,并扩大集团层面的渗透训练和AI安全方案导入。

金融业普遍认为,此次放宽措施是在AI竞争加剧背景下的现实选择。在生成式AI驱动业务创新快速推进的情况下,仅依靠现有监管框架,韩国金融机构可能难以与全球同行展开竞争。

不过,也有观点担忧,政策红利可能更多集中于大型金融机构。由于此次特例申请条件事实上主要面向大机构,中小金融机构和金融科技企业在AI应用上的差距可能进一步拉大。与此同时,网络隔离放宽后,一旦发生潜在安全事故,相关责任认定机制也将成为后续必须讨论的问题。

一位金融业人士表示,MYTOS出现后,韩国金融机构普遍已在全公司层面强化AI安全应对能力。虽然放宽网络隔离可能带来新的安全担忧,但更重要的是根据环境变化逐步完善制度,仅靠一味封堵,监管效果存在明显边界。

该人士还表示,关于中小金融机构或金融科技企业与大型机构之间安全和AI应用能力差距扩大的担忧,确实存在,但从整体效果看,也可能带来更高的行业效率。由于中小机构安全投入能力有限,若由主要金融机构先行建立有效模型,再向全行业扩散,或许是更高效的路径。

业界分析认为,此次举措不仅是安全监管层面的适度松绑,也可能成为决定韩国金融业AI转型速度的重要转折点。围绕MYTOS引发的AI安全威胁讨论,已从风险认知进一步延伸至网络隔离制度调整以及金融业AX议程,后续监管部门将在多大程度上推进制度创新,仍值得关注。

韩国金融监管部门也计划加快推出配套措施。监管层将依托金融安全院内的“金融AI安全研究所”和“AI安全支援中心”,强化AI威胁分析与防护支持体系,并计划在6月内制定AI安全指南,同时推进面向中小型金融科技企业的安全支持扩容。

韩国金融委员会副委员长Kwon Dae-young表示,“金融AX大转型”将推动金融服务体系实现根本性升级,政府也将积极完善有利于金融业使用AI的相关制度。

关键词

#韩国金融委员会 #MYTOS #高性能AI #网络隔离 #金融业AX #CISO #安全SaaS服务 #零信任安全体系 #渗透测试 #AI安全指南
版权所有 © DigitalToday。未经授权禁止转载或传播。