본문
금융감독원은 2026년 1월 15일 「금융분야 AI 위험관리 프레임워크(AI RMF)」 도입을 발표하여, 금융회사가 AI 관련 위험을 자율적으로 관리할 수 있는 기준을 제시하였습니다. AI RMF는 업권별 의견 수렴 절차를 거쳐 금년 1분기에 확정·시행될 예정입니다.
AI RMF는 거버넌스, 위험평가, 위험통제의 세 영역으로 구성되며, 이에 따라 금융회사는 AI 위험관리를 위한 의사결정기구·조직·내규를 마련하고, 위험 평가체계를 구축하며, 위험 수준에 따른 통제를 수행하여야 합니다. 본 프레임워크는 법적 강제력이 없는 자율규제 형태로 운영될 예정으로, 금융회사는 규모와 특성에 맞게 이를 탄력적으로 적용할 필요가 있습니다.
1. 도입 배경
2. 주요 내용
3. 시사점
1. 도입 배경
국내 금융회사 중 AI 거버넌스 관련 의사결정기구를 설치한 곳은 은행 5개사, 보험사 4개사, 증권사 1개사에 불과하며, 전체 금융회사 중 약 85%는 AI 윤리원칙이나 위험관리 기준 등을 마련하지 않은 것으로 확인되었습니다.
이에 금융감독원은 2026년 1월 15일 금융분야 AI 위험관리 프레임워크(이하 “AI RMF”) 도입을 발표하여, 금융회사가 AI 관련 위험을 스스로 관리할 수 있도록 관련 기준을 제시하였습니다. AI RMF는 금융당국이 지난달 발표한 금융분야 AI 가이드라인의 ‘금융분야 AI 7대 원칙’ 중 ‘거버넌스 원칙’을 구체화한 것으로, 업권별 의견수렴을 거쳐 2026년 1분기에 확정·시행될 예정입니다.
2. 주요 내용
가. 구성
AI RMF는 거버넌스, 위험평가, 위험통제의 세 가지 영역으로 구성되어 있으며, 금융회사로 하여금 AI생애주기 전반에 걸쳐 위험을 체계적으로 관리하도록 설계되어 있습니다.
나. 구체적인 내용
(1) 거버넌스
금융회사는 AI위험관리를 위한 의사결정기구, 전담조직, 관련 내규를 마련하여야 합니다. 의사결정기구(예: AI윤리위원회, AI위험관리위원회)는 AI 도입·활용 등 주요 의사결정에 적극 관여하여야 합니다. 예컨대, AI 윤리원칙 등 AI 관련 내규 제·개정, 위험관리·소비자보호정책 수립, 고위험 AI 서비스 승인 등 AI 관련 중요사항을 심의·의결해야 합니다. 의사결정기구의 위원장은 이사회 및 최고경영자에게 주요 사항을 정기적으로 보고하여 이사회 및 최고경영자가 AI 도입·활용과 관련한 사업계획, 전략, 위험 등을 명확하게 파악하고, 이에 따른 의사결정에 대한 최종 책임을 부담할 수 있도록 해야 합니다. 아울러, 책무구조도를 도입한 금융회사는 AI 관련 내부통제 및 위험관리 등에 관한 책무를 반영하여 AI 도입·활용에 따른 책임소재를 명확히 할 필요가 있습니다.
다음으로, 위험관리 전담조직은 AI 위험의 인식·측정·평가 등 위험관리 전반을 총괄하고 인공지능기본법 등 관련 법규상 각종 의무의 준수 여부를 관리·감독하여야 하며, AI 기획·개발 업무와 독립(원칙적으로 조직적·기능적 분리)되어 위험관리 업무를 수행하여야 합니다. 위험관리 전담조직이 수행해야 할 역할은, 금융회사 내 AI 도입·활용 전반에 대한 총괄·조정·정리, 안전하고 신뢰할 수 있는 AI 도입·활용과 관련하여 금융회사 내 전체 구성원과의 협력 및 정보공유·커뮤니케이션 채널 마련·관리·시행, AI 도입·활용 관련 위험의 통합 모니터링·식별·분석·관리 및 해결 등입니다.
이사회 및 최고경영자는 AI의 잠재적 위험을 관리하고, 안전한 AI 도입·활용을 위한 내규 등을 마련해야 합니다. 구체적으로, AI 윤리기준을 근간으로 AI 위험관리규정 및 지침 등 내규를 수립하고 세부적인 업무매뉴얼을 마련해야 합니다. 특히 AI 위험관리규정에는 위험의 종류, 위험을 인식·측정·평가·통제할 수 있는 방안, 허용 가능한 위험 수준 설정, 고위험 AI에 대한 통제방안, AI 거버넌스 전담조직의 구조와 업무분장, 절차 위반 시 처리 방안 등을 명시할 필요가 있습니다.
(2) 위험평가
금융회사는 AI위험을 체계적으로 측정하고 관리하기 위하여 위험 기반 접근방법(Risk-based approach)의 종합평가체계를 구축하여야 하며, 필요에 따라 규칙 기반 접근방법 등 금융회사 실정에 맞는 방식도 활용할 수 있습니다. 위험등급은 위험 인식·측정, 위험 경감, 잔여위험 평가를 거쳐 고위험·중위험·저위험으로 분류됩니다.
위험의 인식·측정은 ‘금융분야 AI 7대 원칙’ 중 합법성 원칙, 신뢰성 원칙, 신의성실의 원칙 및 보안성 원칙을 정량적 요소로 하여 설계된 평가항목으로 이루어집니다. 금융회사는 AI 개발·활용 단계 및 업무 형태에 따라, AI 위험 인식·측정을 위한 평가 항목 및 배점을 개별적으로 구성할 수 있는데, 은행업권은 서비스 안정성을 위한 항목에 더 큰 비중을 둘 수 있으며, 금융투자업권에서는 금전 손실 위험을 방지하기 위한 항목을 더 세부적으로 설계할 수 있습니다.
인식·측정된 위험은 항목별로 사전에 정의된 위험 경감방안에 따라 경감계획을 수립·이행하는데 활용되고, 경감방안 이행 정도에 따라 잔여 위험점수가 산출됩니다. 위험 경감방안은 기술적, 정책적 방안 등이 가능합니다. 예를 들어, 합법성 원칙 관련 인공지능기본법 위반 가능성 평가항목의 경우 ‘인공지능기본법의 주요 의무 및 요구사항을 확인하여, 관련 법 및 하위규정을 준수하여 AI 서비스 및 시스템이 개발되고 운영될 수 있도록 하는 방안’을 경감방안으로 볼 수 있습니다. 이러한 방안이 적절히 수행된 경우 잔여 위험 비중은 0%라고 할 수 있습니다.
위험 경감방안 적용 후 산출된 항목별 잔여 위험점수를 합산하여 AI 서비스의 최종 위험등급을 산정합니다. 한편, 인공지능기본법상 ‘고영향 AI’에 대해서는 위험점수에 관계없이 고위험 서비스로 분류하여야 합니다.
(3) 위험통제
금융회사는 모든 AI 활용 서비스에 대해 서비스 출시 전 위험경감 조치를 검증하고, 서비스 운영단계별 모니터링 기준을 적용하여 AI 의사결정기구에 보고하도록 하며, 매뉴얼에 따른 위험관리·검증을 수행하고 위험 변경 시 위험 수준을 재평가하여 등급을 재조정해야 합니다.
또한, 위험평가를 통해 산정한 위험등급을 기준으로 차등화된 위험통제를 수행해야 하는데, 저위험 서비스의 경우 승인절차 간소화 등 완화된 관리를 할 수 있으나, 고위험 서비스에 대해서는 사전 승인, 제3자 검증 의무화 등 강화된 관리방안을 적용해야 합니다. 단, 대출심사 등 개인의 권리 및 의무에 중대한 영향을 미치는 고영향 AI에 대해서는 위험점수에 따른 등급 분류와 관계없이 고위험 서비스로 분류하여 최고 수준의 위험통제를 해야 합니다. 한편 금융안정성 훼손 또는 소비자 권익 침해 우려가 있다고 AI 의사결정기구가 판단하는 경우 등에 해당하는 초고위험 AI 서비스에 대해서는 출시 여부를 재검토해야 합니다.
금융회사는 AI 모델 및 시스템에 대해 모니터링 항목(주요 성능 지표, 오류 발생 건수, 고객 민원 건수 등)과 점검 주기를 설정하여 점검을 수행해야 하며, 모니터링 항목별 점검 주기 및 담당자, 책임자를 명확히 지정해야 합니다. AI위험관리 전담조직은 모니터링이 적절하게 실시되었는지에 대해 주기적으로 점검을 수행하고 미흡한 점이 있는 것으로 판단되는 경우 개선을 요구해야 합니다. 이러한 위험평가·검증·통제와 관련된 전 과정은 문서화하여 체계적으로 관리되어야 합니다.
아울러, 유사한 AI 모형, 데이터 활용 제3자 의존도 증가 등으로 금융회사 간 네트워크 연계성 및 동조화가 심화될 수 있으므로, 시스템 위험을 초래할 수 있는 AI 사고에 대해서는 금융당국에 보고해야 하며, 활용 구조 등 AI 관련 정보에 대해 금융당국에 공유할 필요가 있습니다.
3. 시사점
AI RMF는 법적 강제력이 없는 자율규제 형태로 운영될 예정으로, 금융회사는 규모와 특성에 맞게 이를 탄력적으로 적용할 필요가 있습니다. 다만 금융회사의 AI 활용이 확대되면서 금융소비자 및 금융산업 전반에 미치는 영향이 커지고 있는 만큼, 금융당국의 안전한 AI 활용을 위한 감독 기조는 지속적으로 강화되고 있습니다. AI를 활용하는 금융회사에서는 AI RMF의 내용을 충실히 파악하고, 자사의 AI 서비스 등 관리 체계 전반에 대한 점검을 선제적으로 수행할 필요가 있습니다.
화우 디지털금융센터는 금융회사, 플랫폼, 핀테크 기업 등에 대한 다양한 자문을 통해 축적한 경험과 노하우를 기반으로 고객을 위한 최적의 법률 자문 서비스를 제공하고 있습니다. 관련하여 궁금하신 사항이 있으실 경우 언제든지 문의하여 주시기 바랍니다.
- 관련 분야
- #디지털금융센터
