IMF “AI가 금융 시스템 공격한다” 경고..."다음 금융위기는 ‘사이버 런’"

국제통화기금(IMF)이 공개한 사이버 리스크 분석 자료. 왼쪽 그래프는 2004년 이후 글로벌 사이버 사고 발생 건수가 급증한 흐름을, 오른쪽 그래프는 기업의 극단적 손실 규모가 2017년 대비 2021년 크게 확대된 모습을 보여준다. IMF는 디지털화와 인공지능(AI) 확산, 금융권의 클라우드·외부 IT 인프라 의존 심화로 인해 사이버 공격이 단순 보안 문제가 아니라 금융안정성 자체를 흔들 수 있는 시스템 리스크로 커지고 있다고 경고했다. [자료=IMF]

“사이버 공격은 더 이상 IT 부서의 문제가 아니다. 금융 시스템 전체를 흔드는 거시 금융 리스크가 되고 있다.”

국제통화기금(IMF)이 인공지능(AI) 기반 사이버 공격이 글로벌 금융 시스템 자체를 흔들 수 있다고 경고하고 나섰다. 단순 해킹이나 개인정보 유출 차원을 넘어, 금융기관 신뢰 붕괴와 지급결제 마비, 유동성 경색, 대규모 자금 인출까지 촉발할 수 있다는 분석이다. 특히 생성형 AI가 공격 속도를 인간 방어 체계보다 훨씬 빠르게 끌어올리면서, 금융 시스템의 구조적 취약성이 본격적으로 노출되고 있다는 평가다.

IMF 통화자본시장국(MCM) 소속 토비아스 아드리안, 타마스 가이도쉬, 랑가차리 라비쿠마르는 7일(현지시간) 발표한 분석 보고서에서 “AI는 금융 시스템의 사이버 회복력을 높일 수 있지만 동시에 공격자의 능력을 비약적으로 증폭시키고 있다”며 “사이버 위험은 이제 금융안정성 차원의 핵심 위협으로 다뤄져야 한다”고 밝혔다.

이번 IMF 경고의 배경에는 최근 공개된 차세대 AI 모델들의 공격 능력이 있다. 보고서는 특히 앤트로픽(Anthropic)의 ‘Claude Mythos Preview’를 대표 사례로 언급했다. 해당 모델은 제한된 통제 환경에서조차 주요 운영체제(OS)와 웹브라우저의 취약점을 찾아내고 악용하는 능력을 보여줬다. 비전문가 수준의 사용자도 대규모 취약점 탐색과 공격 자동화를 수행할 수 있다는 의미다.

IMF는 이 지점에서 금융 시스템의 구조적 위험을 본다. 현대 금융은 은행 자체보다도 클라우드, 결제망, 인증 체계, 공통 소프트웨어 플랫폼 등 ‘공유 디지털 인프라’ 위에서 움직인다. 즉 하나의 취약점이 발견될 경우 단일 기관이 아니라 여러 금융기관이 동시에 타격받을 수 있다는 뜻이다.

챗GPT/사진=연합뉴스

특히 AI는 취약점 탐색과 공격 자동화를 기계적 속도로 수행한다. 기존에는 해커들이 수개월 동안 분석하던 시스템 취약점이 이제는 AI 모델을 통해 단시간 내 대량 탐색될 가능성이 커졌다. 문제는 방어 체계가 이를 따라가지 못한다는 점이다. IMF는 “공격자는 AI를 통해 패치와 복구보다 더 빠르게 움직일 수 있다”며 “공통 플랫폼 의존도가 높은 금융 시스템에서는 동시다발적 취약점 노출 가능성이 커진다”고 지적했다.

실제 IMF는 이미 금융권 사이버 사고의 경제적 피해 규모가 빠르게 커지고 있다고 분석했다. 글로벌 금융안정보고서(GFSR)에 따르면 금융기관 대상 사이버 공격은 팬데믹 이후 두 배 이상 증가했다. 특히 ‘극단적 손실(extreme losses)’ 규모는 2017년 이후 4배 넘게 증가해 현재는 사고당 평균 25억 달러 수준까지 확대됐다.

대표 사례가 미국 신용평가사 에퀴팩스(Equifax) 사건이다. 2017년 발생한 대규모 개인정보 유출 이후 에퀴팩스는 10억 달러가 넘는 벌금과 합의 비용을 부담했다. 그러나 IMF는 직접 손실보다 더 위험한 것은 ‘신뢰 붕괴’라고 본다.

은행 시스템은 결국 신뢰 위에서 돌아간다. 사이버 공격이 금융기관의 데이터 무결성과 지급 능력에 대한 의심으로 이어질 경우, 실제 유동성 위기로 전염될 가능성이 있다는 의미다. IMF는 보고서에서 “아직 본격적인 사이버 런(cyber run)은 발생하지 않았지만, 미국 소형은행들에서는 공격 이후 예금 유출 증가가 관측됐다”고 밝혔다.

IMF [사진=연합뉴스]

결제망 교란 가능성도 핵심 위험으로 지목된다. IMF는 2023년 남아프리카 레소토 중앙은행 공격 사례를 언급하며, 국가 결제 시스템이 멈출 경우 실물경제 자체가 타격받을 수 있다고 분석했다. 금융기관들이 클라우드와 외부 IT 서비스 업체 의존도를 높이는 것도 또 다른 위험 요인이다.

실제 2023년 미국에서는 한 클라우드 IT 서비스 업체가 랜섬웨어 공격을 받으면서 60개 신용조합 시스템이 동시에 마비됐다. IMF는 “금융기관들이 동일한 외부 인프라에 의존할수록 단일 취약점이 시스템 전체 충격으로 확대될 가능성이 커진다”고 분석했다.

흥미로운 점은 IMF가 AI를 동시에 ‘위험’이자 ‘해결책’으로 보고 있다는 점이다. 공격자가 AI를 사용하는 만큼 방어자 역시 AI를 활용해야 한다는 것이다. 이미 글로벌 금융기관들은 AI 기반 위협 탐지, 이상 거래 분석, 자동 사고 대응, 취약점 탐색 시스템 도입을 확대하고 있다.

다만, IMF는 단순 기술 도입만으로는 부족하다고 본다. 핵심은 ‘회복력(resilience)’이다. 사이버 공격을 완전히 막는 것은 현실적으로 불가능하기 때문에, 공격이 발생해도 핵심 금융 기능이 유지될 수 있도록 설계해야 한다는 의미다.

국제통화기금(IMF)이 집계한 금융권 사이버 공격 및 피해 규모 자료. IMF에 따르면 2004년부터 2023년까지 글로벌 금융 부문에서는 2만건이 넘는 사이버 공격이 발생했으며, 누적 피해 규모는 120억달러를 넘어섰다. 은행권이 가장 많은 공격을 받았지만, 자산운용사·보험사·기타 금융 인프라까지 피해가 광범위하게 확산된 것으로 나타났다. IMF는 금융권의 디지털화와 클라우드·외부 IT 서비스 의존 확대, 인공지능(AI) 기반 공격 고도화로 인해 사이버 리스크가 금융 시스템 전체의 안정성을 위협할 수 있다고 분석했다. [자료=IMF]

이에 따라 IMF는 금융당국과 중앙은행이 기존의 규제 틀 자체를 바꿔야 한다고 강조한다. 단순 보안 규제가 아니라 금융안정 차원의 사이버 스트레스 테스트, 사고 복구 훈련, 이사회 수준의 감독 체계, 핵심 서비스 연속성 관리까지 포함하는 거시 건전성 프레임워크가 필요하다는 것이다.

특히 신흥국 문제는 더 심각하다. IMF 조사에 따르면, 상당수 신흥국과 개발도상국은 아직 금융권 차원의 사이버보안 전략이나 전용 감독 체계를 갖추지 못한 상태다. AI 기반 공격 역량이 국가 간 경계를 넘나드는 상황에서, 방어력이 약한 국가가 글로벌 금융 시스템 전체의 취약점으로 작용할 수 있다는 분석이다.

IMF가 던진 메시지는 단순하다. 금융 시스템의 다음 위기는 부동산이나 금리에서 시작되지 않을 수도 있다는 것이다. AI가 촉발한 사이버 충격이 금융기관 신뢰 붕괴와 결제망 마비를 거쳐 실물경제까지 흔드는 새로운 형태의 금융위기가 현실이 될 수 있다는 경고다.

IMF 관계자는 “AI 시대의 핵심 질문은 금융 시스템이 심각한 사이버 스트레스 속에서도 계속 기능할 수 있느냐는 점”이라며 “사이버 위험을 단순 기술 문제가 아니라 금융안정 문제로 다루는 새로운 접근이 필요하다”고 했다.

[뉴스로드] 최지훈 기자 jhchoi@newsroad.co.kr