[디지털투데이 강진규 기자] 코로나19 사태 이후 비대면·디지털 금융이 확산하고 있는 가운데 미국 금융당국이 사이버공격 관련 감독을 강화하고 있는 것으로 나타났다. 금융회사를 대상으로 한 랜섬웨어 공격에 대응하고 사고 발생 시 대응 역량도 점검하고 있다. 국내에서도 디지털 금융 서비스가 확산되고 있는 만큼 이런 동향이 반영될지 주목된다.

13일 금융권에 따르면 금융감독원 워싱턴사무소는 최근 ‘2021년 미국 금융감독 동향과 시사점’이라는 연구자료를 작성했다.

워싱턴사무소는 코로나19 상황에서 미국 금융감독기관들이 어떤 방향으로 감독정책을 추진했는지 분석했다. 워싱턴사무소에 따르면 미국 금융당국은 부채, 건전성, 지배구조 등 전통적인 위험 요인과 함께 사이버공격을 주요 위험요소로 보고했다.

워싱턴사무소는 “미국 감독기관은 재무‧신용위험 뿐만 아니라 최근에는 진화하고 지속적으로 복잡해지는 사이버공격으로 인해 영업위험이 증가하고 있다고 보고 대형은행을 중심으로 외주업체 관리 등을 포함한 정보 시스템의 복원력 등을 지속적으로 중점 감독, 평가할 예정이다”고 설명했다.

워싱턴사무소에 따르면 미국 감독당국은 자산 1000억달러 이상인 대형은행 감독에서 사이버보안을 우선 순위에 놓고 있다. 미국 감독당국은 운영복원력을 중점적으로 감독하는 것으로 알려졌다. 운영복원력은 사이버공격, 재난 등으로 은행이 피해를 입을 경우 이를 해결하고 복구할 수 있는 능력을 뜻한다.

미국 연방준비제도(이하 연준)는 대형은행들의 정보시스템 복원력, 사고 시 이사회의 역할, 사업연속성 계획 등을 평가하고 있다. 또 연준은 랜섬웨어 공격 확산과 관련해 은행들의 위험관리 실태도 지속적으로 평가 중이다.

연준 등은 자산 1000억달러 이하의 소형은행을 대상으로도 사이버공격으로부터 고객들의 자산을 보호하기 위한 조치가 제대로 이뤄지고 있는지 지도하고 있다.

워싱턴사무소는 미국 통화감독청(OCC)의 2022년 은행 감독업무 운영계획도 소개했다. 통화감독청 역시 사이버위험과 관련된 은행의 즉각적인 사고대응 능력, 데이터 복구 및 비즈니스 재개 가능성을 중점 감독할 예정이다. 통화감독청은 한발 더 나아가 외주업체와 관련한 사이버 보안 위험에 대해서도 관리와 복원력에 대해서도 평가할 방침이다.

미국 감독당국이 은행들의 사이버보안 관련 감독을 강화하는 것은 다양한 요인이 작용한 것으로 해석된다. 코로나19 사태 이후 비대면 금융서비스가 확산되고 은행 등 금융기관들의 디지털 전환이 빨라지고 있다. 금융의 디지털화가 촉진되면서 사이버공격이 발생할 경우 파장도 커질 것으로 우려되고 있다.

지난해 미국 등에서는 랜섬웨어가 기승을 부렸다. 지난해 5월 미국 최대 송유관 기업 콜로니얼 파이프라인이 해커들에게 랜섬웨어 공격을 받아 송유관 가동이 중단됐다. 또 7월에는 미국 IT 관리용 솔루션 제공 업체인 카세야 제품을 통한 랜섬웨어 공격으로 비상이 걸렸다. 대기업, 인프라, 병원, 정부기관 등에서 랜섬웨어 피해가 속출했다.

이에 금융권을 대상으로 한 랜섬웨어 공격 가능성도 우려되고 있다. 금융권이 보안체계, 보안솔루션, 망분리 등 다양한 보안대책을 마련하고 있지만 안전을 장담할 수는 없다는 지적이다.

전문가들은 은행, 보험사, 증권사, 카드사 등에서 랜섬웨어 피해가 발생할 경우 큰 피해가 발생할 것으로 보고 있다. 더구나 금융회사가 랜섬웨어를 당해 업무가 마비되거나 데이터손실 등 피해를 당할 경우 금융시장의 안정성도 흔들릴 것으로 예상된다.

이처럼 디지털 금융이 확산되고 사이버위협이 고조되면서 미국 감독당국이 선제적으로 사이버보안 점검을 강화한 것으로 추정된다. 금융권은 국내에서도 비슷한 추세가 나타날 것으로 예상하고 있다.