핵심 요약:
- 중국 NFRA, 은행·보험사에 AI 앱 위험도별 분류 명령
- 이름·주민등록번호 등 개인정보, 생성형 AI 학습에 사용 금지
- 신용평가·인수심사 등 고위험 AI 사용 시 위험위원회 승인 필수
- 대형 금융기관, 중소형 은행에 AI 인프라 공유 의무
뒤로
중국 NFRA, 은행·보험업 대상 AI 가드레일 의무화
중국 은행 규제기관이 금융기관에 AI 애플리케이션을 위험 수준별로 분류하고 모델 학습에 개인정보를 사용하지 못하도록 명령했다. 글로벌 금융에서 인공지능에 대한 가장 규범적인 프레임워크 중 하나를 설정한 조치다.
국가금융감독관리총국(NFRA)은 월요일 은행 및 보험업을 대상으로 한 AI 안전 개발 및 적용에 관한 지침 의견을 발표, 중국 금융 전반에 걸쳐 거버넌스 구조, 위험 분류 체계, 데이터 프라이버시 보호 조치를 의무화했다. 이 규정은 NFRA의 감독을 받는 모든 정책 은행, 상업 은행, 보험사, 자산운용사, 금융지주회사에 적용된다.
NFRA는 홈페이지에 게재된 문서에서 "이사회 또는 지정된 위원회는 AI 개발 및 적용 관리를 책임지고, 발전 계획을 수립하며, 부문 간 협업 메커니즘을 구축해야 한다"고 밝혔다. 금융기관은 주관 부서를 지정하고 AI 배치와 위험 관리 역량을 연계할 인재 파이프라인을 구축해야 한다.
이번 규정은 2단계 위험 분류 체계를 도입했다. 자금 거래, 자산 평가, 신용 인수심사, 보험 청구, 위험 관리와 관련된 AI 애플리케이션 또는 고객 이익이나 금융 계약에 직접 영향을 미치는 생성형 AI 사용은 '고위험'으로 분류되며, 배치 전에 해당 기관의 위험 관리 위원회 승인을 받아야 한다. 이러한 고위험 애플리케이션에는 주요 의사 결정 지점에서 사람의 감독 및 개입 메커니즘이 포함되어야 하며, 백업 시스템이나 수동 대체 절차가 준비되어 있어야 한다.
데이터 프라이버시 및 인프라 의무
NFRA는 기존 사이버보안법을 뛰어넘는 엄격한 데이터 프라이버시 규칙을 부과했다. 이름, 주민등록번호, 전화번호, 은행카드 번호를 포함한 개인정보는 "생성형 AI 모델 학습 및 최적화에 사용되어서는 안 된다"고 규제기관은 밝혔다. 이는 사실상 은행과 보험사가 도입을 서두르고 있는 대규모 언어 모델(LLM)에서 고객 데이터를 차단하는 조치다. 금융기관은 안전 가드레일을 구축하고, 콘텐츠 필터링 및 데이터 마스킹을 시행하며, 데이터 중독 공격(data poisoning attacks)을 방지해야 한다.
인프라 측면에서 NFRA는 금융기관에 친환경 기술을 활용한 '자율·통제 가능한' 컴퓨팅 파워 기반 구축을 지시하고, 대형 은행이 중소형 은행에 컴퓨팅 서비스를 제공하도록 장려했다. 규제기관은 또한 기관 간 모델 재사용을 위한 MaaS(Model-as-a-Service) 플랫폼을 포함한 업계 전반의 AI 애플리케이션 인프라 구축을 촉진했다. 이 지침은 AI 혁신과 'AI+' 액션 전략을 우선시하는 중국의 15차 5개년 계획과 일치한다.
이번 규정은 공급망 리스크도 다룬다. 금융기관은 특정 기술 공급업체에 대한 과도한 의존으로 인한 집중 리스크를 관리하고, 오픈소스 구성요소의 대장을 유지하며, 코드 감사 및 취약점 스캔을 수행해야 한다. 외부 생성형 AI 모델은 배치 전에 중국 인터넷정보판공청(CAC)에 등록되어야 한다.
중국 금융 AI 시장에 대한 규정의 의미
이 프레임워크는 규정 준수 비용과 비즈니스 기회를 동시에 창출한다. NFRA 데이터에 따르면 중국 은행 부문의 총자산은 약 417조 위안(57조 6000억 달러)으로, 글로벌에서 가장 큰 AI 인프라 대상 시장 중 하나다. 대형 금융기관이 중소형 은행과 AI 역량을 공유하도록 한 의무화 조치는 업계 전반에 걸친 새로운 기술 조달 물결을 촉발할 수 있다.
이번 규정은 글로벌 AI 주권 추진 움직임을 반영한다. NFRA의 '자율·통제 가능' 기술 강조는 인도에서 Sarvam AI가 인도 언어 및 기업 사용 사례를 위한 풀스택 AI 구축을 위해 2억 3400만 달러(15억 달러 가치 평가)를 조달한 사례, 그리고 미국 정부가 국가 안보 우려를 이유로 Anthropic에 최신 모델에 대한 외국인 접근을 중단하도록 명령한 사례와 유사한 움직임이다.
기술 공급업체의 경우, 이번 규정은 분열된 시장을 창출한다. 화웨이의 Ascend 컴퓨팅 플랫폼과 바이두의 PaddlePaddle 프레임워크를 포함한 국내 AI 인프라 제공업체는 국산 기술 추진의 수혜를 입는 반면, 외국계 클라우드 제공업체는 추가 규정 준수 장벽에 직면한다. NFRA의 공급망 리스크 관리 및 집중도 제한 요구는 사실상 단일 외국 공급업체에 대한 의존을 억제한다.
NFRA는 자체 AI 규제 정책에 대한 연간 평가 체계를 수립하고 모니터링 및 조기 경보 시스템을 구축할 것이라고 밝혔다. 일반 대면 또는 고위험 애플리케이션에 생성형 AI를 사용하는 금융기관은 규제기관에 보고해야 한다. 다음 규정 준수 마일스톤은 위험 분류 체계 및 데이터 거버넌스 프레임워크의 이행이며, 금융기관은 NFRA의 후속 시행 지침이 정한 기한 내에 이를 완료해야 한다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
