금융위원회가 2026년 1분기 금융산업 통합 AI 가이드라인 시행을 추진하고, 금융감독원이 AI 위험관리 프레임워크(AI RMF)를 도입하면서 국내 금융권의 AI 전환이 본격적인 제도권 안으로 들어왔다. 망분리 규제 완화와 맞물려 금융사의 AI 기반 서비스 개발과 내부 코드 작성에 AI를 활용하는 사례도 빠르게 늘고 있는 상황이다.

그러나 AI 도입이 가속화될수록 간과하기 쉬운 리스크가 있다. AI가 작성한 코드의 보안 취약점 문제다. 최근 발표된 한 독립 벤치마크 연구에 따르면, 보안 지침을 명시적으로 제공한 상황에서도 AI 모델이 생성한 코드 중 약 20%는 기능적으로는 정상이지만 보안상 취약한 구현을 포함하고 있는 것으로 나타났다. 금융사가 AI를 활용해 서비스를 개발할수록, 검증되지 않은 취약한 코드가 운영 환경에 배포될 가능성도 함께 높아지는 셈이다.

더 큰 문제는 공격자도 이미 AI를 쓰고 있다는 점이다. 보안 패치가 공개된 직후 그것을 역공학해 익스플로잇을 만들어내는 속도가 빨라지고 있다. 방어와 공격의 속도 격차가 벌어지는 와중에, 검증되지 않은 코드가 운영 환경에 배포되는 것을 막을 실마리가 보이지 않는 상황이다.

글로벌 엔터프라이즈 AI 데이터 관리 선도기업 오픈텍스트(OpenText™, NASDAQ/TSX: OTEX)는 이 같은 환경 변화에 대해 “AI가 애플리케이션 보안 테스팅을 대체하는 것이 아니라, AI 시대일수록 기존 보안 테스팅의 중요성이 더 커진다”라고 강조한다. AI 기반 코드 분석은 기존 정적 분석(SAST)이 잡아내기 어려운 설계 단계 취약점이나 복합적인 데이터 흐름 문제를 탐지하는 데 강점이 있지만, 전체 코드베이스를 빠짐없이 분석하고 반복 가능한 결과를 제공하는 데는 기존 SAST가 여전히 핵심 역할을 한다는 것이다. 오픈텍스트는 이 두 가지를 결합한 하이브리드 분석 방식을 금융권을 포함한 고규제 산업의 현실적인 해법으로 보고 있다.

오픈텍스트의 애플리케이션 보안 솔루션 포트폴리오 포티파이(Fortify)는 이 접근을 이미 실제 운영 환경에 적용하고 있다. AI를 활용해 SAST 탐지 결과를 검토하고 수정 방안을 제안하는 포티파이 레미디에이션 애비에이터(Fortify Remediation Aviator)는 오픈텍스트 자체 개발 조직 — 개발자 7,000명, 애플리케이션 2,000개 이상 — 에 도입돼 현재까지 100만 건 이상의 보안 이슈를 처리했다. 또한 개발자가 실제로 코드를 작성하는 환경인 AI 코딩 에이전트 안에 포티파이를 직접 연동할 수 있는 MCP 서버와 에이전트 스킬도 오픈소스로 제공하고 있다.

오픈텍스트 관계자는 “금융권의 AI 전환은 혁신의 기회인 동시에 새로운 보안 리스크의 진입점이기도 하다”며 “AI가 만든 코드도 사람이 만든 코드와 동일한 수준의 보안 검증을 거쳐야 하며, 오픈텍스트 포티파이는 이 과정을 개발 파이프라인 안에서 자동화하고 지속적으로 실행할 수 있도록 지원한다”라고 밝혔다.
dl-itworldkorea@foundryco.com