유럽중앙은행(ECB)이 유로존 전역의 은행들에 사이버보안에 더 많은 자금을 투입하라고 촉구하며, 인공지능(AI)이 디지털 공격의 규모와 속도를 비약적으로 증가시키고 있다고 경고했다. ECB는 감독 대상 기관에 보낸 새 지침에서 AI 기반 위협의 급증으로 인해 단순한 점진적 개선이 아닌 상당한 방어 지출 업그레이드가 필요하다고 밝혔다. 규제 당국은 이에 뒤처지는 은행이 자체 시스템뿐만 아니라 광범위한 금융 네트워크의 안정성까지 위험에 빠뜨릴 수 있다고 강조했다.
경고가 지금 나온 이유
사이버 범죄자들은 생성형 AI와 머신러닝 도구를 무기화하여 더 설득력 있는 피싱 이메일을 만들고, 취약점 스캔을 자동화하며, 기존 탐지 시스템을 회피하기 시작했다. ECB가 최근 몇 주간 은행들과 공유한 평가에 따르면 이러한 공격은 더 빠르게 도착하고 식별 신호도 더 적다. 단 하나의 유출된 자격 증명이 은행 보안팀이 침입을 발견하기도 전에 국경을 넘는 침해로 이어질 수 있다. 중앙은행의 메시지는 명확하다. 기존 방식으로는 부족하다는 것이다.
시점은 우연이 아니다. 유럽 은행들은 이미 더 엄격한 자본 규정과 경기 침체에 대처하고 있다. 여기에 사이버보안 경쟁이 더해지면 예산이 압박을 받지만, ECB는 투자 부족이 더 이상 선택지가 아님을 분명히 하고 있다. GFdaily가 검토한 ECB 내부 문서는 현재 위협 환경을 '속도와 범위 면에서 전례 없는 수준'이라고 설명하지만, 은행은 경고를 촉발한 특정 사건에 대해서는 언급을 거부했다.
ECB가 요구하는 사항
이 지침은 특정 지출 목표(수익의 일정 비율이나 고정 유로 금액)를 설정하지는 않았다. 대신 각 은행에 AI 기반 공격 벡터에 초점을 맞춘 새로운 위험 평가를 실시하고 다년간 투자 계획을 제시하도록 요청한다. 이 계획에는 구체적인 조치(전문 인력 채용, 위협 탐지 소프트웨어 업그레이드, AI 기반 침입을 모방한 레드팀 시뮬레이션 실행)가 포함되어야 한다. 발을 빼는 은행은 더 빈번한 현장 검사와 극단적인 경우 사이버 위험에 묶인 더 높은 자본 완충 장치를 예상할 수 있다.
ECB는 또한 은행들이 위협 정보를 더 적극적으로 공유하기를 원한다. 지침에는 '더 이상 어떤 은행도 섬이 아니다. 공격 패턴과 방어 도구에 대한 협력은 시스템 전체에 필수적이다'라고 명시되어 있다. 여러 대형 유로존 은행들은 이미 유럽은행감독청(EBA)이 운영하는 시범 플랫폼을 통해 데이터를 공유하기 시작했으며, ECB는 이러한 노력이 확대되기를 기대한다.
더 넓은 규제 환경
프랑크푸르트의 이러한 움직임은 더 넓은 규제 추세와 일치한다. 2025년 1월 발효된 EU의 디지털운영복원법(DORA)은 이미 금융 기업에 사이버 방어를 정기적으로 테스트하고 주요 사고를 몇 시간 내에 보고하도록 요구한다. ECB의 최근 요구는 AI 측면에 특히 초점을 맞춤으로써 한 걸음 더 나아간다. 이는 규제 당국이 이 기술을 위험 체크리스트의 또 다른 항목이 아닌 별개의 위협으로 보고 있다는 신호다.
대형 경쟁사에 비해 자금이 부족한 소규모 은행들은 가장 큰 어려움에 직면해 있다. ECB는 이러한 격차를 인정하고 공유 사이버보안 서비스나 방어 도구의 조정된 조달을 제공할 가능성을 모색 중이다. 확정된 계획은 발표되지 않았지만, 중앙은행 이사회는 6월 회의에서 옵션을 논의할 예정이다.
현재로선 시간이 촉박하다. 은행들은 3분기 말까지 AI 위험 평가와 투자 로드맵을 제출해야 한다. 기한을 놓치는 은행은 공식 검토를 받고 잠재적으로 ECB 감독 보고서에 공개적으로 명단이 공개될 수 있다.
