금융 AI 가이드라인,
이 경우엔 의무가 아닙니다
금융위원회가 2025년 12월 발표한 금융 AI 가이드라인이 올해 1분기 시행 예정입니다.
현장에선 대부분 “다 지켜야 한다”고 알고 있지만, 실제 구조를 보면 그렇지 않습니다.
핀테크까지 적용
2026년 1분기 시행
시행은 됐는데, 강제가 아니라는 게 무슨 뜻인가요?
금융 AI 가이드라인이 2026년 1분기 시행됩니다. 금융 AI 가이드라인을 둘러싼 현장의 불안감은 상당합니다. “이걸 다 지켜야 하냐”, “안 지키면 과징금 맞냐”는 질문이 이어지는데, 결론부터 말씀드리면 — 지금 공개된 통합 가이드라인(안)은 법적 강제력이 있는 규정이 아닙니다.
금융위원회가 2025년 12월 22일 발표한 ‘금융분야 AI 가이드라인(안)’은 공식적으로 모범규준(Best Practice) 형식입니다. 업권별 자율규제 형식으로 운영되며, 기존 ‘금융분야 AI 운영 가이드라인(‘21.7월)’, ‘금융분야 AI 개발·활용 안내서(‘22.8월)’, ‘금융분야 AI 보안 가이드라인(‘23.4월)’을 하나로 통합·개정한 버전입니다. (출처: 금융위원회 공식 발표, 2025.12.22)
💡 공식 발표문과 실제 법령 구조를 같이 놓고 보니 이런 차이가 보였습니다.
AI 기본법(법적 의무) → 가이드라인(권고 사항) 순서로 우선 적용됩니다. AI 기본법이 규정하지 않는 부분만 가이드라인이 채웁니다. 즉, AI 기본법과 가이드라인이 충돌하면 기본법이 이깁니다.
문제는 “권고니까 안 봐도 된다”는 식으로 넘기다가는 낭패를 볼 수 있다는 점입니다. 금감원은 2026년 업무계획에서 IT 사고에 징벌적 과징금 도입을 추진한다고 밝혔습니다. (출처: 금융감독원 2026년 업무계획, 2026.2월) 가이드라인이 권고라도, 이를 무시하다가 사고가 나면 “당국이 제시한 기준조차 안 따랐다”는 근거가 됩니다. 사실상 준수 압력은 법령 수준과 다를 바 없습니다.
적용 대상도 은행·보험사·카드사에 한정되지 않습니다. 뱅크샐러드, 토스 같은 핀테크 기업도 AI 활용 결과가 금융서비스 제공에 직간접으로 영향을 미치면 적용 범위에 포함됩니다.
AI를 그대로 가져다 쓰면 의무에서 빠지는 조건
AI 기본법 의무를 짊어지느냐 마느냐는 금융사가 AI를 어떤 방식으로 쓰느냐에 따라 달라집니다. 많은 금융사 담당자들이 “GPT를 쓰면 다 의무 대상이겠지”라고 생각하는데, 공식 문서에는 다른 내용이 나옵니다.
📌 이 부분은 현장 대부분이 놓치는 조건입니다
외부 AI 회사의 AI 제품·서비스를 형태나 내용의 변경 없이 그대로 이용하는 경우, 해당 금융사는 인공지능기본법상 ‘이용자’로 분류됩니다.
‘이용자’는 AI 기본법상 의무를 부담하지 않습니다.
(출처: 김앤장 법률사무소 금융 AI 가이드라인 분석, 2026.01.22)
구체적으로 예를 들면 이렇습니다. 은행이 외부 AI 기업이 제공하는 AI 면접 시스템을 수정 없이 그대로 채용 절차에 활용하면, 그 은행은 ‘이용자’에 해당해 의무를 지지 않습니다. 반면 동일한 AI 모델을 가져와 자체 금융 서비스에 맞게 변형·재구성해서 배포하면, 그때부터는 ‘인공지능 이용사업자’가 되어 AI 기본법 의무가 붙습니다.
| AI 활용 방식 | 분류 | AI 기본법 의무 |
|---|---|---|
| 외부 AI를 형태·내용 변경 없이 그대로 사용 | 이용자 | ❌ 의무 없음 |
| AI 모델을 변형·재구성해 금융 서비스로 제공 | 이용사업자 | ✅ 의무 발생 |
| 자체 AI 모델 개발·배포 | 개발사업자 | ✅ 의무 발생 |
다만 ‘이용자’로 분류돼 AI 기본법 의무를 피해도, 금융분야 통합 가이드라인은 여전히 적용 권고를 받습니다. 외부 AI 모델을 활용한 결과로 금융거래에 영향을 미치는 경우라면 가이드라인 적용 범위 안에 있기 때문입니다. 과학기술정보통신부는 2026년 1월 28일 보도 참고자료를 통해 “최소 1년 이상 규제 유예기간을 운영한다”고 밝혔습니다. 이 기간 안에 정비를 마쳐두는 게 현실적인 대응입니다.
7대 원칙, 현장에서 가장 걸리는 건 이것입니다
금융 AI 가이드라인의 핵심은 7대 원칙입니다. 거버넌스, 합법성, 보조수단성, 신뢰성, 금융안정성, 신의성실, 보안성. 이름만 보면 추상적으로 들리지만, 현장 실무자 입장에서 진짜 발목을 잡는 건 ‘보조수단성’입니다.
보조수단성 원칙: AI가 틀려도 책임은 사람입니다
보조수단성 원칙은 이렇게 규정합니다 — “최종 의사결정과 그에 따른 책임은 임직원이 부담할 수 있도록 내부 관리체계를 구축해야 한다.” (출처: 금융위원회 금융분야 AI 가이드라인(안), 2025.12) 쉽게 말하면, AI가 대출 심사 결과를 잘못 내놓아도 임직원이 책임을 집니다. AI에 책임을 떠넘기는 구조는 애초에 허용되지 않습니다.
더 까다로운 건 오픈소스 포함 외부 AI 모델을 활용한 경우입니다. 외부에서 가져온 모델을 썼더라도, 그 활용 결과에 대한 책임 소재는 그 모델을 활용한 금융회사에 귀속됩니다. 공급사 탓을 할 수 없다는 얘기입니다.
💡 신의성실 원칙 하나가 AI 기본법보다 적용 범위가 넓습니다.
AI 기본법은 ‘고영향·생성형 AI’에만 사전 고지 의무를 부과합니다. 그런데 통합 가이드라인(안)은 모든 대고객 AI 서비스를 사전 고지 대상으로 봅니다. 법보다 가이드라인이 더 넓게 설계된 부분입니다. (출처: 김앤장 법률사무소 분석, 2026.01.22)
거버넌스 원칙: 위험 점수화 시스템이 생겼습니다
거버넌스 원칙에는 실무적으로 중요한 장치가 하나 담겨 있습니다. 합법성, 신뢰성, 신의성실, 보안성 4개 원칙을 정량적 요소로 점수화해서 고·중·저 위험군으로 분류하는 체계입니다. 위험 점수의 총합이 일정 기준을 넘으면 심의를 통해 서비스 출시 자체를 재검토할 수 있습니다. 개발을 다 해놓고 막힐 수 있다는 뜻입니다.
망분리 완화와 책임 강화, 동시에 터진 이유
금융권 현장에서 가장 큰 혼란은 두 가지가 같은 달 터졌다는 데서 옵니다. 금융위원회는 2026년 1월 19일 망분리 규제를 완화하겠다고 했습니다. 문서 작성·협업·인사관리 같은 업무지원 분야는 별도 심사 없이 클라우드 기반 소프트웨어를 쓸 수 있게 하는 방향입니다. 그런데 금감원은 같은 달 AI 리스크 관리 가이드라인을 공개하면서 내부통제를 더 강화한다고 했습니다. (출처: 스트레이트뉴스, 2026.03.10)
금융권 한 관계자의 말이 딱 들어맞습니다. “당국이 겉으로는 AI를 써도 된다고 하지만, 현장에서는 문제가 생기면 결국 책임은 우리가 져야 한다는 말로 들린다.” 맞습니다. 이게 설계 의도입니다. 규제를 풀어줄 테니 쓰되, 사고가 나면 책임은 금융사가 지는 구조입니다.
💡 금감원의 감독 방향도 이미 바뀌었습니다.
2026년 3월 4일 디지털·IT 부문 업무설명회에서 이종오 금융감독원 부원장보는 “사후 조치 중심에서 사전 예방 중심으로 IT 리스크 감독 패러다임을 전환한다”고 밝혔습니다. (출처: 금융감독원 2026년 금융감독 업무설명회, 2026.03.11) 사고 터지고 제재하는 게 아니라, 사고 날 것 같은 회사를 미리 찾겠다는 뜻입니다.
실무적으로 이게 의미하는 바는 명확합니다. AI 도입을 늦추는 것도, 무분별하게 들이밀었다가 사고 나는 것도 둘 다 위험합니다. 가이드라인이 제시하는 위험 평가 체계를 먼저 갖추고, 그 틀 안에서 단계적으로 확장하는 방식이 현재 시점에서 가장 안전한 경로입니다.
해외 금융사는 지금 어디까지 왔나 — DBS 사례
비교 기준이 없으면 한국 금융사가 뒤처진 건지, 비슷한 건지조차 가늠하기 어렵습니다. 가장 앞서간다는 평가를 받는 싱가포르 DBS의 수치를 봐야 현실감이 생깁니다.
📊 DBS 기준 수치 (2025년 5월 기준)
→ 370개 활용 사례에 1,500개 이상의 AI 모델 배포
(출처: 딜로이트 AI 기반 언더라이팅 보고서, 2026.02)
국내 대형 은행 한 곳에서 AI 모델을 10개 넘게 운영하는 경우가 드문 것과 비교하면 규모 차이가 뚜렷합니다.
DBS는 싱가포르 통화감독청(MAS)의 FEAT 원칙 — 공정성(Fairness), 윤리성(Ethics), 책임성(Accountability), 투명성(Transparency) — 을 기반으로 AI 거버넌스를 설계했습니다. 한국의 7대 원칙과 구조적으로 비슷하지만, DBS는 이 원칙 위에서 이미 수년간 실사례를 쌓았습니다.
미국 쪽은 더 빠릅니다. 모건스탠리, JP모건 체이스, 골드만삭스는 금융 업무와 내부통제 영역에 에이전트 AI를 적극 도입 중입니다. 미국 금융산업규제청(FINRA)은 2026년 연간 규제감독보고서에서 에이전트 AI의 위험을 자율성, 감사가능성, 데이터 민감성 등 6가지로 분류해 기업 고려사항을 이미 제시했습니다. (출처: 김앤장 2026 AI 컴플라이언스 분석, 2026.03.18)
한국 금융사의 현실은 아직 후선 업무 효율화 AI 중심입니다. 대고객 서비스에 AI를 붙이기 전에 내부 업무부터 검증하겠다는 접근입니다. 이 방향 자체는 합리적이고, 가이드라인도 이 순서를 사실상 지지하고 있습니다.
Q&A — 자주 묻는 5가지
Q1. 금융 AI 가이드라인은 언제부터 시행되나요?
Q2. 핀테크 스타트업도 가이드라인 적용 대상인가요?
Q3. 사전 고지 의무, 어떤 서비스에 붙나요?
Q4. 위험 점수화 기준이 구체적으로 어떻게 되나요?
Q5. 가이드라인을 안 지키면 실제로 제재를 받나요?
마치며
솔직히 말하면, 금융 AI 가이드라인을 둘러싼 현장의 피로감은 이해됩니다. 한꺼번에 쏟아진 규정들을 어디서부터 어떻게 봐야 하는지 감이 안 잡힌다는 반응이 많습니다. 그런데 핵심만 추리면 생각보다 간단합니다.
첫째, 가이드라인은 권고이지만 사고가 나면 기준이 됩니다. 둘째, AI를 가져다 쓰는 방식에 따라 AI 기본법 의무 대상 여부가 갈립니다. 셋째, 보조수단성 원칙 때문에 AI 결과물에 대한 책임은 사람이 집니다. 이 세 가지를 기준으로 내부 체계를 점검하는 것이 지금 당장 할 수 있는 가장 실용적인 대응입니다.
DBS가 370개 활용 사례를 쌓는 데 몇 년이 걸렸습니다. 지금 시작하지 않으면 대고객 서비스 경쟁이 본격화될 때 따라잡기가 어려워집니다. 2026년 1분기 시행 — 아직 준비할 시간이 있습니다.
📚 본 포스팅 참고 자료
⚠️ 면책 조항: 본 포스팅은 2026년 3월 30일 기준으로 공개된 공식 자료를 바탕으로 작성되었습니다. 금융분야 AI 가이드라인은 의견 수렴 진행 중이며, 공식 발효 이후 내용이 달라질 수 있습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있으며, 구체적인 법률·규제 판단은 전문가와 상담하시기 바랍니다.
댓글 남기기