Columns

Security's strongest shield becomes a barrier to innovation (KOR)

Korea's digital finance success now risks stalling unless outdated network separation rules are reformed to support AI, cloud and stronger cybersecurity.

Published
Visitors explore exhibition booths at the 25th World Security Expo (Secon 2026) and the 14th eGisec (eGovernment Information Security Solution Fair 2026), held at Kintex in Goyang, Gyeonggi, on March 18. Secon 2026, Asia's largest integrated physical and cybersecurity exhibition, showcased the latest security technologies and solutions for emerging IT environments, including AI, big data and the metaverse. eGisec 2026 featured information security solutions for e-government as well as public- and private-sector organizations.


 Kim So-young 

The author is a professor of economics at Seoul National University and a former vice chairman of the Financial Services Commission. 


Cloud computing, blockchain and artificial intelligence are rapidly transforming financial services. A decade ago, sending money required a bank account number, a visit to a bank or a computer login using an accredited certificate. Today, a transfer can be completed in seconds through a messaging or payment app with biometric authentication. Bank accounts, securities holdings and even forgotten insurance policies can now be viewed through a single asset management application.

Korea's digital finance sector has advanced dramatically over the past decade. Fintech emerged between 2013 and 2015 as finance and information technology began to converge. Subsequent reforms, including the abolition of mandatory accredited certificates, the launch of internet-only banks and remote identity verification, accelerated innovation. Regulatory sandboxes, open banking, MyData and fintech investment funds further expanded the ecosystem. Since 2024, the focus has shifted to AI transformation, with financial institutions building AI platforms, updating AI guidelines and gradually easing network separation rules.

Simple payment and money transfer services best illustrate this transformation. The average daily value of mobile payments has more than tripled in six years. According to the Bank for International Settlements, Korea ranked second in the world in per capita real-time payments in 2024 and third in average transaction value. Simple transfers using phone numbers or social media accounts instead of bank account numbers also increased more than fourfold during the same period, reaching 7.42 million transactions a day in 2025.

Open banking and MyData have further reshaped financial services. Open banking enables customers to manage accounts at multiple banks through a single application using standardized application programming interfaces, or APIs. While the Britain introduced the concept first and Australia later adopted it, Korea expanded far more rapidly, reaching 30 million subscribers and 100 million registered accounts within two years.

MyData extended the concept by allowing consumers to consolidate financial information held by banks, card companies and insurers into one application with their consent. By the end of 2025, cumulative registrations had reached nearly 180 million and daily API transmissions exceeded 850 million. Integrating financial information allows consumers to better manage assets while AI supports more personalized financial services.

Digital finance has improved convenience, reduced costs and intensified competition by encouraging innovation from both financial institutions and fintech companies. Big data and AI can improve credit assessment, promote financial inclusion and allocate capital more efficiently. Infrastructure such as real-time payments, open banking and MyData has become part of Korea's digital competitiveness.

Yet one regulation now threatens the next stage of digital finance: the network separation rule.

Network separation requires financial institutions and public agencies to keep their internal business networks physically isolated from the internet. The policy originated during the Cold War to protect classified systems and was adopted in Korea after major cyberattacks, first for public institutions in 2007 and later for financial institutions in 2014.

For years, the regulation was considered highly effective. During the 2017 WannaCry ransomware attack, which infected more than 200,000 computers in 150 countries, Korea's financial sector suffered little damage because malicious software could not easily penetrate isolated internal networks. As digital finance evolved and AI became essential, however, perceptions changed. Strict network separation limited the adoption of cloud computing and generative AI, turning what had been regarded as the strongest shield for cybersecurity into a barrier to innovation.

The productivity gap between companies that can freely use AI and those that cannot is likely to widen, particularly in finance, where digital technologies spread rapidly. If overseas financial institutions face few restrictions while Korean firms remain constrained, their global competitiveness will inevitably weaken.

Recognizing the problem, financial authorities announced a roadmap in August 2024 to gradually allow generative AI, expand the use of software-as-a-service (SaaS) and improve research and development environments. Since April 2026, financial institutions meeting specified security standards have also been permitted to use SaaS on internal business networks.

Even so, further reform is needed. First, cybersecurity technology itself must improve. As long as security depends primarily on physical network separation, incentives to develop more advanced defenses remain weak. Authorities are therefore promoting a principle-based security framework while encouraging AI-based security systems capable of using AI to defend against AI-driven threats.

Second, financial institutions must invest more aggressively. Making effective use of AI requires comprehensive changes to management, business operations, software development and security systems. Yet many firms continue to rely heavily on outsourced AI services instead of building their own capabilities, a strategy that could undermine long-term competitiveness.

Finally, network separation in the public sector also deserves reconsideration. Although the government is moving toward a more flexible framework based on the National Network Security Framework, implementation needs to proceed faster. Network separation remains necessary where classified information is involved. In less sensitive areas, however, excessive restrictions may prevent government agencies from making full use of AI at a time when it is becoming essential across society.



보안의 최고 방패 ‘망분리’, 혁신의 장벽으로 전락

김소영 서울대 경제학부 교수·전 금융위원회 부위원장

클라우드·블록체인·인공지능(AI) 등 기술혁신이 급속도로 확산되면서 금융 서비스가 놀랍게 진화하고 있다. 10년 전만 해도 친구에게 돈을 보내려면 계좌번호를 받아 적고, 은행에 직접 가서 송금하거나, 컴퓨터를 찾아 은행 웹사이트에 로그인하고 공인인증서 비밀번호를 입력해야 했다. 지금은 휴대폰 메신저나 결제 앱에서 받는 사람을 선택하고 지문이나 패턴 한 번이면 끝난다. 하나씩 확인해야 했던 은행·증권 계좌들, 가입한 사실조차 깜빡했던 보험금도 이제는 자산관리 앱 하나에서 전부 볼 수 있다.

디지털 금융은 지난 10여년 동안 급속히 성장해왔다. 2013~2015년은 정보기술(IT)과 금융의 융합이 처음 논의되고 핀테크 개념이 처음 등장한 태동기라 할 수 있다. 발전기인 2015~2017년은 공인인증서 의무 사용 폐지, 인터넷 은행 설립, 비대면 실명인증 도입 등이 핀테크와 금융산업 성장에 결정적인 역할을 했다. 성숙기인 2017~2019년에는 금융혁신지원특별법이 제정되고 핀테크 사업예산이 마련되는 등 예산과 제도가 구축됐다. 2020~2023년은 고도화가 진행된 시기로 금융규제 샌드박스, 마이데이터 서비스, 오픈 뱅킹 플랫폼, 핀테크 혁신펀드 등이 도입됐다. 2024년부터는 AX(AI transformation), 즉 AI 전환의 시대에 접어들었다. 금융권 AI 플랫폼 구축, AI 가이드라인 정비, 망분리 규제 개선 등이 진행되고 있다.

국민의 일상 바꾼 간편 결제·송금

디지털 금융의 발전이 국민의 일상에 영향을 미친 대표적인 사례는 간편 결제와 간편 송금이다. 카드 계좌, 선불금 정보 등을 모바일에 저장하고 비밀번호, 생체인증, 단말 접촉 등으로 결제하는 간편 결제 서비스의 일평균 이용금액은 불과 6년 만에 3배 이상 증가했다(그림 1). 국제결제은행(BIS) 통계에 따르면 우리의 2024년 1인당 실시간 결제 이용 빈도는 세계 2위, 결제 1건당 평균 금액은 세계 3위로, 한국은 세계에서 가장 많이 실시간 결제를 이용하는 국가다. 모바일 충전금, 계좌이체를 기반으로 전화번호·SNS 등 수취인 정보로 송금하는 간편 송금도 6년 동안 4배 이상 증가해(그림 1) 2025년 평균 하루 742만 건, 1인당 월평균 여덟 차례를 기록했다.

또 다른 대표사례는 오픈뱅킹과 마이데이터다. 오픈뱅킹이란 하나의 앱에서 여러 은행의 계좌를 조회하고 이체까지 할 수 있게 한 제도다. 한국은 금융결제망 개방을 통해 핀테크 기업들이 각 은행과 표준화된 API(응용 프로그램 인터페이스, Application Programming Interface) 방식으로 한 번에 연결될 수 있는 환경을 제공했다. 오픈뱅킹 개념 자체는 영국이 2018년 먼저 시작했고 호주도 2019년부터 법제화했으나 확장속도가 느리며, 미국과 일본도 진행이 지지부진하다. 반면 국내 오픈뱅킹은 출범 2년 만에 순 가입자 3000만명, 순등록계좌 1억개를 달성하며 전 국민이 사용하는 핵심 금융 인프라로 자리매김했다. 현재 은행을 넘어 증권·카드·보험 등 전 금융업권이 참여해 금융회사와 핀테크기업 모두 다양한 혁신서비스를 출시하는 공정한 생태계로서 금융산업의 혁신과 변화를 견인하고 있다.

이러한 오픈뱅킹을 발판으로 한 걸음 더 나아간 것이 마이데이터다. 마이데이터란 여러 은행·카드사·보험사에 흩어져 있던 내 금융정보를 본인이 동의하면 하나의 앱으로 모아서 관리할 수 있게 하는 제도다. 2022년 1월 API 기반 마이데이터 서비스가 전면 시행됐는데 2025년 12월 말 기준 가입자는 중복 포함 무려 1억 7949만 명, 일평균 API 전송 건수는 8억 5000만 건, 누적 1조 2417건에 이른다. 흩어진 본인 정보를 통합 관리하고 전체 자산 현황을 한눈에 파악하면 효율적인 금융 의사결정에 도움이 되고 AI 분석을 통한 맞춤형 금융 상품 추천도 가능하다.

이렇듯 한국 디지털 금융은 비약적인 발전을 거듭하고 있다. 디지털 금융의 발전은 소비자 편의와 비용절감뿐 아니라, 빅테크·핀테크 등의 등장으로 금융권 혁신을 자극하고 경쟁을 촉진하며, 빅데이터와 AI 기반의 신용평가 등은 자본 배분의 효율을 높이고 금융포용에도 도움이 될 수 있다. 데이터 경제는 새로운 성장 동력이 될 수 있으며, 실시간 결제·오픈뱅킹·마이데이터 같은 선진 인프라 자체가 국가의 디지털 경쟁력이 된다. 결과적으로 디지털 금융의 발전은 생산성 향상과 경제 발전에 기여할 수 있다. 하지만 향후 디지털 금융의 가장 중요한 발전 방향인 AX에 커다란 걸림돌이 되고 있는 규제가 있는데, 이는 바로 망분리 규제이다(그림 2).

망분리 규제란 금융기관·공공기관의 업무용 컴퓨터와 인터넷을 완전히 분리하도록 강제하는 보안 규제다. 냉전 시대 때 군사·정보 기관이 기밀 네트워크를 보호하기 위하여 시작한 개념으로, 사이버 공격 등을 막기 위해 도입되었다. 2003년 1월 25일 디도스(DDoS) 공격으로 인터넷 대란이 일어난 후 2007년 공공기관 망분리 규제가 도입되었다. 2013년 3월 20일 동시다발적으로 발생한 사이버 공격으로 농협·신한은행 등 대형 금융기관 전산망이 마비되는 사고가 일어난 후 2014년 금융기관에도 망분리 규제가 도입되었다.

AI 격차, 금융산업에선 더 커

이전에는 망분리 규제가 효과적인 규제라는 생각이었다. 예를 들어, 2017년 5월 12일 워너크라이 랜섬웨어가 150개국 20만여 대의 컴퓨터를 감염시키고 40억 달러에 이르는 피해를 입히며 전 세계를 강타했다. 하지만 국내 금융권에서는 망분리 규제로 악성코드가 들어올 경로 자체가 없었기 때문에 피해가 없었다. 하지만 이후 디지털 금융이 더욱 발전하면서, 특히 AI가 등장하면서, 이러한 평가는 급변하였다. 망분리 규제로 인해 한국 금융기관은 AI·클라우드 등을 적극 활용할 수 없게 되었다. 보안을 위한 최고의 방패라고 여겼던 망분리 규제가 혁신에 대한 장벽이 된 것이다.

이미 많은 사람이 AI를 일상적으로 활용하는 시대에, AI를 자유롭게 쓰는 기업과 그렇지 못한 기업의 생산성 차이는 상당할 것이다. 특히 디지털 기술 적용이 빠른 금융산업에서 그 격차는 더 크다. 세계화된 금융 시장에서, 외국 금융기관들은 AI를 자유롭게 활용하는데 한국만 제약이 크다면 그 경쟁의 결과는 불 보듯 뻔하다.

금융 당국도 이러한 문제를 인식하여 2024년 8월 13일 단계적으로 금융 회사의 생성형 AI 활용을 허용하고 클라우드와 같은 서비스형 소프트웨어(SaaS; Software as a Service) 이용 범위를 확대하며 연구개발 환경을 적극 개선한다는 내용의 금융분야 망분리 개선 로드맵을 발표하였다. 2024년 11월 샌드박스를 통해 생성형 AI를 활용한 혁신금융 서비스를 지정하기 시작했고, 2026년 4월 일정한 보안 규율을 준수하면 금융회사가 내부 업무망에서 SaaS를 이용할 수 있도록 했다.

망분리로 보안기술 수준 더 낮아져

하지만 아직 갈길이 멀고 향후 더 많은 노력이 필요하다. 첫째, 사이버 보안기술 발전이 시급하다. 망분리 규제를 완화하려면 망분리 없이도 사이버 공격 등을 막을 수 있는 기술이 필요한데, 그동안 망분리 자체로 보안이 유지되다보니 보안기술을 개발할 유인이 없어 그 수준이 낮아졌다는 문제가 있다. 금융 당국도 이러한 문제를 인식하여 자율보안 원칙 중심의 새로운 법과 체계를 구축하려 하고 있고, 보안을 목적으로 AI와 SaaS를 활용하는 경우 망분리 규제를 긴급히 완화하여 ‘AI를 AI로 방어하는’ 고도화된 보안체계 구축을 지원하고 있다. 10여년간 손대지 않았던 보안기술을 당장 개발, 적용하기 쉽지 않으므로 더욱 전폭적인 지원이 필요하다.

둘째, 금융회사 자체의 더 많은 노력이 필요하다. 금융회사가 AI를 제대로 활용하기 위해서는 경영·영업·개발·보안 시스템 등을 전면적으로 변경해야 하고, 이러한 총체적인 시스템 전환과 보안기술 개발, 적용에는 상당한 비용과 노력이 든다. 하지만 주식시장 활황, 지속적인 신용 증가 등으로 많은 수익을 거두고 있는 금융회사들이 현 상태에 안주해 적극적으로 나서지 않는 경향이 있다. 실제로 많은 금융회사가 AI 직접 개발·활용 대신 부분적으로 외주를 주는 경향이 있다. 하지만 이런 방식으로는 체계적인 시스템 전환이 어려워 시간이 지날수록 한국 금융회사의 경쟁력이 저하될 가능성이 크다.

마지막으로 공공 부문의 망분리 규제에 대해서도 숙고해봐야 한다. 공공 부문도 국가망보안체계(N²SF)를 바탕으로 데이터 중요도에 따른 차등 적용 등 완화를 추진하고 있으나, 좀 더 속도감 있고 구체적인 실행 방안이 필요하다는 목소리도 있다. 물론 국가적으로 중요한 정보와 기밀이 있는 부문에서는 망분리 규제가 필요하다. 하지만 그렇지 않은 부분에서는 모든 개인과 기업이 AI를 전면적으로 활용하는 시대에 망분리 규제에 막혀 있는 정부가 제대로 된 역할을 하는 데 어려움이 있을 수 있다.

This article was originally written in Korean and translated by a bilingual reporter with the help of generative AI tools. It was then edited by a native English-speaking editor. All AI-assisted translations are reviewed and refined by our newsroom.