금융위원회 통합 가이드라인(안) 기준
인공지능기본법 2026.01.22 시행
금융분야 AI 가이드라인, 따르면 안전하다고요? 이 조건 먼저 보세요
2026년 1분기, 금융위원회가 금융분야 통합 AI 가이드라인을 시행합니다. 금융사와 핀테크 기업을 포함해 “AI 결과가 금융서비스에 영향을 미치는 모든 사업자”가 대상입니다. 그런데 직접 공식 문서를 비교해 보니, 가이드라인을 충실히 따르는 것만으로는 법적 리스크가 사라지지 않았습니다. 오히려 모르면 더 위험한 구조가 숨어 있었습니다.
(거버넌스~보안성)
(자율규제 형태)
(인기법 + 가이드라인)
가이드라인이 나왔는데 왜 아직도 불안한가
금융위원회는 2025년 12월 22일 금융권 AI 협의회를 열고 금융분야 통합 AI 가이드라인(안)의 개정 방향을 공개했습니다. 2021년 운영 가이드라인, 2022년 개발·활용 안내서, 2023년 보안 가이드라인 등 기존 3개 문서를 하나로 합치고 2026년 1분기 시행을 목표로 한 결과물입니다. (출처: 금융위원회 보도자료, 2025.12.22)
동시에 금융감독원도 2026년 1월 15일 ‘금융분야 AI 위험관리 프레임워크(AI RMF)’를 별도로 공개했습니다. 그런데 두 문서를 함께 읽고 나서 처음 든 생각은 “규범이 하나가 아니라 두 개”라는 점이었습니다. 금융위 가이드라인과 금감원 AI RMF가 별개로 운영되고, 여기에 2026년 1월 22일부터 시행된 인공지능기본법까지 더해지면 금융사는 세 가지 규범을 동시에 소화해야 합니다.
이 세 규범이 어디서 겹치고 어디서 충돌하는지를 모르면, 가이드라인을 성실히 따랐더라도 인공지능기본법상 의무를 놓치는 구조가 만들어집니다.
통합 가이드라인 7대 원칙, 핵심만 정리
통합 가이드라인(안)은 AI 활용의 7대 원칙을 제시합니다. 거버넌스, 합법성, 보조수단성, 신뢰성, 금융안정성, 신의성실, 보안성입니다. (출처: 금융위원회 보도자료, 2025.12.22) 각 원칙이 실무에서 어떤 무게를 갖는지 표로 정리했습니다.
| 원칙 | 핵심 요구사항 | 실무 영향 |
|---|---|---|
| 거버넌스 | AI 윤리위원회 등 최고 의사결정기구 설치 | 조직 신설 비용 발생 |
| 합법성 | AI기본법·금소법·신정법 사전 파악 및 정기 점검 | 법무 검토 필수화 |
| 보조수단성 | 최종 의사결정 책임은 임직원에 귀속 | 외부 AI도 책임 면제 없음 |
| 신뢰성 | AI 편향성·공정성 정기 점검, 설명가능성 확보 | 신용평가 AI 점검 주기 설정 |
| 금융안정성 | 비상정지장치·백업모형 마련, 감독당국 보고절차 | 시스템 동조화 리스크 관리 |
| 신의성실 | 모든 대고객 AI 서비스에 사전 고지 의무 | 인기법보다 넓은 고지 범위 |
| 보안성 | 프롬프트 인젝션·탈옥 공격 등 AI 특화 보안위협 대응 | 기존 IT보안과 별도 체계 필요 |
표에서 굵게 표시한 두 항목이 실무에서 가장 많이 간과되는 부분입니다. 보조수단성 원칙과 신의성실 원칙은 아래 섹션에서 따로 다룹니다.
가이드라인을 지켜도 책임을 피할 수 없는 이유
💡 공식 발표문에 담긴 “보조수단성 원칙”을 실제 계약 구조와 함께 읽어 보니, 가이드라인 준수가 법적 면책을 보장하지 않는 구조가 보였습니다.
통합 가이드라인(안)의 보조수단성 원칙은 이렇게 규정합니다. “오픈소스를 포함하여 외부자로부터 위탁 또는 제공받은 인공지능 모델이나 시스템을 활용하는 경우, 해당 모델 또는 시스템의 활용에 따른 책임소재는 그 모델 또는 시스템을 활용하는 금융회사 등에 귀속된다.” (출처: 김·장 법률사무소 가이드라인 분석, 2026.01.22) 즉, 외부 API나 오픈소스 AI를 가져다 쓴 결과에 대한 책임은 그것을 사용한 금융사가 집니다.
여기서 놓치기 쉬운 지점이 있습니다. 많은 금융사가 “AI 공급사의 서비스를 사용했으므로 문제가 생기면 공급사 책임”이라고 생각합니다. 그런데 통합 가이드라인(안)은 이를 명시적으로 부정합니다. AI 공급사와의 계약에 면책 조항이 있어도, 금융규제 관점에서의 책임은 금융사를 떠나지 않습니다.
⚠️ 실무 함정
금융권 AI 플랫폼(finai.kcredit.or.kr)에서 추천·제공되는 오픈소스 AI 모델을 다운로드해 자사 서비스에 탑재한 경우도 마찬가지입니다. 플랫폼 제공자인 신용정보원이 책임지는 것이 아니라, 해당 모델을 실제 서비스에 활용한 금융사가 책임을 집니다.
더불어 통합 가이드라인(안) 자체는 법적 강제력이 없는 자율규제 형태입니다. (출처: SBS Biz, 2026.01.15 “금융 AI 위험 관리 가이드라인 제정…법적 강제력 없다”) 그런데 이와 별개로, 인공지능기본법은 2026년 1월 22일부터 법적 효력을 갖는 강제 규범입니다. 가이드라인을 지키더라도 인공지능기본법의 의무를 충족하지 못하면 최대 3,000만 원의 과태료가 부과됩니다. 두 규범이 요구하는 내용을 모두 챙겨야 하는 이유가 여기 있습니다.
인공지능기본법과 충돌하는 지점이 있습니다
💡 금융위 가이드라인과 인공지능기본법의 고지 의무 범위를 나란히 놓고 읽어보니, 두 규범이 요구하는 수준이 다른 곳이 있었습니다.
가장 눈에 띄는 차이는 대고객 고지 의무입니다. 인공지능기본법은 “고영향 AI와 생성형 AI”를 대상으로 사전 고지 의무를 부여합니다. 반면 통합 가이드라인(안)은 모든 대고객 AI 서비스를 사전 고지 대상으로 설정합니다. (출처: 김·장 법률사무소 분석, 2026.01.22) 법보다 가이드라인이 더 넓은 범위를 요구하고 있습니다.
감독 주체 문제도 있습니다. 인공지능기본법상 고영향 AI 지정과 사업자 책무는 과학기술정보통신부(과기부)의 감독을 받는 구조입니다. 그런데 금융 분야의 대출심사 AI는 금융당국의 신용평가 관련 방향과도 맞닿아 있습니다. 한국금융연구원 백연주 연구위원은 “과기부의 재량적 고영향 판단으로 인해 대출 외 보험 가입심사, 보험료 산정, 사기탐지시스템 등 다른 활용 사례에 대한 규제 적용 여부가 불확실”하다고 지적했습니다. (출처: 이데일리, 2025.11.15) 금융당국의 판단과 과기부의 판단이 달라질 경우 어떤 기준을 따라야 하는지가 아직 명확하지 않습니다.
대출심사 AI의 ‘고영향’ 범위가 생각보다 넓습니다
인공지능기본법 고영향 AI 판단 가이드라인은 대출심사를 “개인의 신용이나 담보자산을 평가해 신용공여를 심의·결정하는 업무”로 정의합니다. AI가 최종결정에 “상당한 영향”을 미치거나 최종결정을 하면 자동으로 고영향에 해당합니다. 여기서 “상당한 영향”의 기준이 모호합니다. 은행원이 AI 분석 결과를 단순 참고만 해도 의사결정에 간접 영향을 미친 것으로 볼 여지가 있기 때문입니다.
더불어 신용공여의 범위도 넓습니다. 신용대출·담보대출·카드론의 직접 대출뿐 아니라 지급보증, BNPL(후불결제), 자동차 할부금융 등 리스·할부·연체결제 구조까지 포함될 수 있습니다. 작은 핀테크 서비스가 후불결제 기능에 AI를 붙이는 순간, 고영향 AI 의무 전체가 적용될 수 있다는 뜻입니다.
핀테크 기업이 특히 주의해야 할 구조
통합 가이드라인(안)의 적용 대상은 금융회사에 그치지 않습니다. “해당 인공지능시스템의 활용 결과가 금융거래 제공에 영향을 미칠 수 있는 비금융회사”, 즉 핀테크 기업까지 포함됩니다. (출처: 김·장 법률사무소 분석, 2026.01.22) 여기서 “영향을 미칠 수 있는”의 기준이 광범위하게 해석될 수 있습니다.
💡 가이드라인 적용 범위를 내부 업무까지 확대해 보면, 대고객 서비스가 아닌 내부 자동화 시스템에도 통합 가이드라인(안) 준수가 권고된다는 점을 공식 문서에서 확인할 수 있습니다.
적용 범위는 대고객 AI 서비스에 한정되지 않습니다. 금융회사 내부의 업무 지원 및 관리 목적으로 AI를 활용하는 경우에도 통합 가이드라인(안) 준수가 권고됩니다. 예를 들어 내부 업무 처리 자동화에 AI 챗봇을 도입한 저축은행도 거버넌스 원칙의 적용 권고 범위에 들어갑니다.
부서 간 역할과 업무 프로세스를 명확히 정의해야 하는 거버넌스 요구사항은 중소형 금융사와 스타트업 핀테크 기업에 실질적인 비용 부담을 줍니다. AI 위험관리 전담조직을 AI 기획·개발 조직과 기능적으로 분리해야 하는 요건은, 수십 명 규모의 팀이라면 사실상 별도 인력을 채용해야 하는 수준의 요구입니다.
실무에서 지금 당장 점검해야 할 항목
김·장 법률사무소는 관련 기업들이 지금 해야 할 일로 “인공지능기본법에 따른 필수 준수 사항과 통합 가이드라인(안)에 따른 권고 사항을 구분하여 이해하고, 유관부서 식별 후 이해관계자와 신속히 협의해 현황을 정확히 파악한 다음 신속히 대응 전략 및 로드맵을 수립”할 것을 제안했습니다. (출처: 김·장 법률사무소, 2026.01.22) 이 권고를 바탕으로 실무 체크리스트를 정리했습니다.
📌 실무 점검 항목 (2026년 1분기 기준)
현재 도입·운영 중인 AI 서비스 목록을 작성하고, 각각이 인공지능기본법상 고영향 AI에 해당하는지 검토. 대출심사 외 BNPL·카드론·보험 가입심사도 포함해 검토할 것.
외부 AI API 또는 오픈소스 모델을 사용 중이라면, 서비스 오류·편향 발생 시 책임 귀속 구조를 내부 정책으로 명문화. 공급사와의 계약서 면책 조항은 금융규제 관점에서 효력이 없습니다.
대고객 AI 서비스 전체에 대해 사전 고지 절차를 점검. 인공지능기본법이 요구하는 고지 대상보다 통합 가이드라인(안) 요구 범위가 더 넓습니다.
AI 위험관리 전담조직이 AI 기획·개발 조직과 기능적으로 분리되어 있는지 확인. 분리가 어려운 규모라면 역할과 책임의 명문화라도 선행.
통합 가이드라인(안)은 인공지능기본법령 우선 적용 후 보완 적용 구조입니다. 두 규범의 요구사항을 별도 매핑해 중복 대응이 아닌 통합 대응 로드맵을 작성할 것.
국가인공지능전략위원회 ‘대한민국 인공지능 행동계획(안)’에 따르면, 금융분야 AI 위험관리 상시 모니터링 체계는 2026년 4분기까지 구축 예정이며, 통합 가이드라인 자체도 2027년 1분기까지 보완 추진됩니다. (출처: 김·장 법률사무소, 각주 1, 2026.01.22) 규범이 계속 변화하는 시기이기 때문에 지금 만든 체계를 단번에 완성하려 하기보다, 변경 사항을 반영할 수 있는 검토 주기를 내부에 설정하는 것이 현실적입니다.
자주 묻는 질문 (Q&A)
마치며
솔직히 말하면, 금융분야 AI 가이드라인은 방향이 잘 잡혀 있습니다. 7대 원칙은 금융 AI 리스크를 체계적으로 커버하고, 금융권 AI 플랫폼은 중소형 금융사의 AI 진입 장벽을 낮추려는 의도가 분명합니다. 하지만 두 가지가 아쉬웠습니다. 하나는 강제력 없이 의무 없는 권고 형태로 남아 있다는 점, 다른 하나는 인공지능기본법과의 충돌 지점을 먼저 정리해 주지 않는다는 점입니다.
규범이 두 개로 쪼개진 환경에서 “가이드라인을 지키고 있으니 괜찮다”는 생각이 오히려 법적 공백을 만들 수 있습니다. 외부 AI 책임 귀속 구조와 고영향 AI의 광범위한 정의는 특히 핀테크 기업에게 예상 밖의 부담으로 작용할 가능성이 높습니다. 두 규범을 나란히 놓고 매핑하는 작업을 먼저 시작하는 것이 현시점에서 가장 현실적인 대응입니다.
본 포스팅 참고 자료
- 금융위원회 공식 보도자료 — 인공지능 대전환(AX), 금융이 선도하겠습니다 (2025.12.22) https://www.fsc.go.kr/no010101/85908
- 김·장 법률사무소 — 금융분야 AI 가이드라인 개정안 공개 분석 (2026.01.22) https://www.kimchang.com/ko/insights/detail.kc?sch_section=4&idx=33825
- SBS Biz — 금융 AI 위험 관리 가이드라인 제정…”법적 강제력 없다” (2026.01.15) https://v.daum.net/v/ZfKTvDjJ1Q
- BBC 코리아 — ‘세계 첫 전면 시행’ 인공지능기본법은 무엇이고, 내게 미칠 영향은? (2026.01.22) https://www.bbc.com/korean/articles/cy4qqklnl99o
- 이데일리 — AI 활용 넓어진 금융권, ‘고영향’ 규제 대비 서둘러야 (2025.11.15) https://news.nate.com/view/20251115n02894
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. 금융위원회 통합 AI 가이드라인(안)은 의견 수렴 중이며 최종 시행본과 내용이 달라질 수 있습니다. 인공지능기본법 하위법령은 계속 구체화되는 중입니다. 개별 법적 판단은 전문가 자문을 통해 확인하시기 바랍니다.
댓글 남기기