"미국 소수의 은행을 보면 사이버 침해 사고가 발생한 이후 5%가량의 예금인출이 증가하는 것을 볼 수 있다. 아직까지 사이버 침해 사고로 인한 사이버 런(사이버 뱅크런)이 일어난 사례는 없지만, 공격으로 고객의 신뢰를 잃게 되면 사이버 런이 발생할 가능성이 크다."

4일 마하바쉬 쿼레시(Mahvash Qureshi) 국제통화기금(IMF) 통화자본시장부 부국장은 서울 중구 더 플라자호텔에서 열린 '2024년 G20 세계경제와 금융안정 컨퍼런스: 디지털금융과 인공지능 금융환경'을 주제로 한 강연에서 이 같이 말했다.

사이버런은 스마트폰을 통해 뱅크런(Bank run·대량 출금 사태)이 발생하는 것을 말한다. 앞서 미국 16위인 실리콘밸리은행(SVB)은 지난 2023년 18억달러 손실이 났다는 공시를 올리자마자 고객으로부터 예금 출금 요청이 쏟아져 36시간 만에 파산했다. 앞으로는 은행의 직접 손실 외에도 사이버 침해 사고와 같은 간접 손실로 사이버런이 발생할 수 있다는 의미다.

이날 마하바쉬 부국장은 사이버 침해 사고로 인한 피해 중 5분의 1이 금융권에서 일어나고 있는 만큼 사이버 침해 사고에 대비해야 한다고 강조했다.

그는 "금융권의 경우 금융거래로 인한 개인정보가 방대하고, 금융시스템 특성상 한 곳에 사이버 침해 사고가 발생하면 도미노 효과로 피해가 확대될 수 있다"며 "사이버 침해 사고시 노출도가 상당한 만큼 미리 대비해야 한다"고 말했다.

마하바쉬 부국장은 또 금융기관들의 금융IT 인프라가 같은 점도 피해를 키울 수 있다고 지적했다. 예컨대 금융기관의 경우 하나의 전산 운영 센터 등을 통합해 은행, 보험 등의 업무를 지원한다. 이 경우 사이버 침해사고가 발생하면 피해 범위가 겉잡을 수 없이 확대될 수 있다는 의미다.

그는 "국가별로 사이버 침해 사고를 예방할 수 있는 규제를 마련하고, 이를 관리 감독할 수 있는 조직을 갖춰야 한다"며 "금융기관 간 사이버 침해 사고에 대응할 수 있도록 정보공유를 강화해야 한다"고 말했다.

다만 이날 윤성관 한국은행 디지털화폐연구부장은 금융기관 간 정보공유가 실질적으로 어려운 상황이라고 말했다.

그는 "몇 년전 사이버침해 사고에 대응하기 위해 시중은행의 IT관계자들과 정보를 교환하고자 했지만 어려웠다"며 "금융기관 간 정보를 교환하는 것이 오히려 사고를 알리고, 평판 리스크 등을 불러와 운영 안정성을 위협할 수 있는 부분을 우려했다"고 말했다.

정보공유를 위해선 좀 더 세부적으로 IT직원들이 양심적으로 정보를 공유할 수 있도록 익명을 보장하고, 인센티브를 부여해야 한다는 것이다.

특히 윤 부장은 디지털화폐(CBDC) 등이 상용화되면 중앙은행인 한국은행도 사고에 대한 피해가 커질 수 있는 만큼 준비해야 한다는 입장이다.

그는 "지금 한은은 계좌가 있는 은행들만 접근이 가능해 사이버위협이 제한적인 상황"이라면서도 "디지털화폐 등으로 서비스를 제공해야 하는 범위가 넓어지면 환경변화로 사이버 침해 사고에 대한 영향이 커질 수 있다"고 지적했다.