金融委員会は、金融機関がフロンティアAIを巡るセキュリティ脅威に対応する過程で、セキュリティテストや緊急パッチの適用に伴って軽微な電算障害が発生した場合でも、一定の要件を満たせば制裁を免除する方針を決めた。あわせて、金融分野向けの対応要領も策定し、配布した。
同委員会は7月2日、6月30日に免責審議委員会を開き、AIセキュリティテストやセキュリティパッチの過程で生じる電算障害に対する免責措置を審議・議決したと発表した。配布した要領の名称は「フロンティアAIセキュリティ脅威 金融分野対応要領」。
今回の措置は、5月22日に開かれた「高性能AIセキュリティ脅威対応懇談会」の後続対応に当たる。金融委員会は金融監督院、金融セキュリティ院などとともに業界の意見を集約し、AI、セキュリティ、法務の専門家で構成する民間技術諮問団の意見も反映して方針を固めた。
免責の対象となるのは、セキュリティ目的でAIを活用した脆弱性スキャン、ポートスキャン、自動化された侵入試行などのセキュリティテストと、金融委員会、金融監督院、金融セキュリティ院が周知した脆弱性に対する緊急セキュリティパッチの適用だ。OSやソフトウェアのパッチ、これに準ずる電算設備の変更も含まれる。
免責の可否は、障害が軽微な電算障害に当たるかどうかに加え、迅速な復旧手段が確保されているか、消費者保護措置が適切に履行されたかなどを総合的に判断する。
軽微な電算障害の基準としては、故意性がなく、金銭被害が1億ウォン未満で、システム障害の時間が最大4時間以内である場合などを想定する。顧客情報の流出については、個人信用情報を除き、1万件未満が基準となる。
金融機関には、事前テストの実施に加え、被害拡大の防止やサービス継続性の確保に向けた作業計画書の準備も求める。ロールバック、キルスイッチ、サービスモジュールの隔離、フェイルオーバー、手動処理といった復旧・代替手段を備えるケースが該当する。
消費者保護措置も免責の前提となる。金融機関は、セキュリティテストやパッチ適用の日時、対象、内容、代替サービスの利用経路などを、ホームページやSMSで事前に告知しなければならない。消費者被害が発生した場合には、救済措置を整備し、実行する必要がある。
免責の範囲には、機関および役職員に対する制裁や身分上の制裁、過料が含まれる。ただし、個人信用情報の流出事故が発生した場合は、今回の免責措置とは別に、信用情報法に基づく制裁が適用される。
金融委員会は免責措置とあわせ、金融業界向けの対応ガイドラインも配布した。今後は業界の共同対応体制も整備する方針だ。
金融AIセキュリティ研究所を中心に、リスク情報の共有、共同検知ルールの策定、サプライチェーンの共同点検などを進める。侵害が内部システムに急速に拡散する可能性を踏まえ、ゼロトラストに基づくセキュリティ体制やネットワークのセグメンテーションも推奨した。
今回のガイドラインは、金融機関がセキュリティ実務で参照できる行動要領と模範事例を示したもので、順守しなかったとしても制裁などの不利益は科されない。金融委員会は今後、セキュリティ目的のAIテスト結果などを反映しながら、ガイドラインを継続的に更新していく方針だ。
金融委員会は「フロンティアAIのセキュリティ脅威を巡る国内外の状況が急速に変化する中、金融機関の不安を和らげ、積極的なセキュリティ強化を促すことに重点を置いた」と説明した。そのうえで「電算資源の管理、脆弱性の検知、セキュリティパッチの適用など、管理強化に積極的に取り組んでほしい」と述べた。