유럽중앙은행(ECB)이 사이버공격에 대비한 은행의 대응과 복원력을 확인하기 위해 처음으로 ‘사이버 스트레스테스트’를 실시했다.

1일 금융감독원 프랑크푸르트사무소에 따르면 ECB는 지난달 26일 직접 감독대상 109개 은행을 상대로 실시한 ‘사이버 스트레스테스트’ 결과를 발표했다

ECB는 “테스트 결과 은행들은 사이버 공격에 대한 대응 및 복구체계를 구비하고 있지만 인공지능(AI)을 통한 보다 정교한 공격에 대비해 사이버 보안 투자를 확대해야 한다”고 밝혔다.

이번 사이버 스트레스테스트 결과는 기존 스트레스테스트와 달리 개별 은행에 대한 평가결과가 공개되지 않았다. 범죄자에 대한 공격 아이디어 제공을 차단하기 위해서다.

지난해 2월 유럽시스템리스크위원회(ESRB)는 우크라이나 전쟁 등 지정학적 긴장 등에 따라 금융부문 사이버 공격위험이 높아져 금융안정성에 심각한 위협이 된다고 판단, 사이버복원력 시나리오 테스트를 권고했다.

ECB는 은행의 모든 예방조치가 실패함에 따라 사이버 공격으로 인해 은행 주요시스템의 데이터베이스가 중대하게 손상됐다는 시나리오 하에서 은행의 대응 및 복구능력을 중점적으로 평가했다. 109개 은행이 질문서에 대한 답변과 관련 분석자료를 제출했고 이중 28개 은행에 대해 ECB 검사팀이 참석해 실제 IT 복구 테스트를 실시했다.

테스트는 은행들이 △내부위기관리 절차 및 비상 영업계획 등 위기대응계획을 시행하고 △고객, 외부 서비스 제공자 및 감독당국 등 외부 이해관계자와 소통하며 △시스템 손상 내용 및 정도를 파악해 △시스템 복구시까지 피해 완화 조치를 시행하는 등 대응능력을 파악하는 데 초점이 맞춰졌다.

ECB는 테스트 대상 은행들이 전반적으로 사이버 공격에 대한 대응 및 복구체계를 구비하고 있다고 판단했다. 다만 보다 적절한 비상영업·소통·복구 계획을 마련하고, 외부 용역제공자에 대한 의존도를 정확하게 파악해 사이버 공격에 따른 직·간접 피해를 적정하게 평가하는 등의 개선이 필요하다고 밝혔다.

이경기 기자 cellin@naeil.com