디지털 금융 생태계의 확산은 새로운 편의성을 제공하는 동시에 전례 없는 보안 위기를 동반하고 있다. 온라인 뱅킹, 모바일 결제, 클라우드 기반 금융 서비스가 빠르게 확산되며 금융권은 공격자들에게 최우선 표적이 되고 있다. 특히 공격 방식은 과거 단순한 피싱이나 랜섬웨어 암호화에 국한되지 않고, 생성AI를 활용한 정교한 캠페인, 정당한 인증정보 탈취, 공급망 취약점 악용 등으로 진화하고 있다.

금융 서비스는 전 세계 경제 네트워크와 밀접하게 연결되어 있어, 단일 기관의 보안 실패가 글로벌 차원의 위기를 초래할 수 있다. 이처럼 보안 실패가 산업을 넘어 사회 전반에 충격을 가할 수 있는 상황에서 금융기관의 보안 강화는 선택이 아니라 필수적 과제로 자리잡고 있다.

금융권 공격 규모와 현황

인적 위험 관리 전문 글로벌 사이버 보안 플랫폼 노우비포(KnowBe4, CEO 스튜 새비지)는 최근 발표한 ‘금융 부문 위협 보고서’를 통해 금융기관이 직면한 보안 위협을 수치로 제시했다.

보고서에 따르면 금융 서비스 기업은 다른 산업 대비 연간 최대 300배 많은 사이버 공격을 받고 있으며, 2024년 금융기관 대상 침입 공격 건수는 전년 대비 25% 증가했다. 미국 대형 은행의 97%와 유럽 상위 금융기업 100%가 제3자 및 공급망 데이터 침해를 겪은 것으로 조사되었다. 이는 금융권이 외부 공급망 의존도를 높이면서 발생하는 취약성이 명확히 드러난 사례다.

특히 보고서는 금융기관을 겨냥한 표적 공격이 전년 대비 109% 늘었다고 밝혔다. 공격자들은 제3자 데이터 침해를 통해 우회 진입하고 있으며, 이를 통해 내부 네트워크와 결제 시스템까지 확산시키는 양상이 뚜렷하다. 이러한 결과는 금융권 전체의 시스템적 위험을 가중시키는 요인으로 분석된다.

AI 활용한 공격 기법의 진화

보고서는 FraudGPT, 일레븐랩스(ElevenLabs) 등 AI 기반 도구들이 공격자들에게 새로운 무기를 제공하고 있음을 지적했다. 생성AI는 피싱 이메일과 음성 사기, 다국어 지원 등 정교한 공격 캠페인을 가능하게 하며, 기존의 보안 필터를 우회하는 데 활용되고 있다. 또한 공격자들은 전통적인 랜섬웨어 암호화 방식에서 벗어나 데이터 유출과 다단계 갈취로 전략을 전환하고 있다.

300만 건 이상의 다크웹 게시물 분석 결과는 도난된 인증정보가 신용카드 도용을 크게 앞질렀음을 보여준다. 특히 2024년 인포스틸러(정보 탈취 악성코드) 감염 시도는 58% 증가했으며, 전체 공격의 68%가 이메일에서 시작된 것으로 나타났다. 공격자들이 탈취한 정상 인증정보는 합법적인 사용자 행위로 위장되기 때문에 탐지와 차단이 훨씬 더 어렵다. 이는 금융기관 내부망에서 장기간 잠복하며 공격을 이어가는 APT(Advanced Persistent Threat) 형태로 발전할 위험이 크다.

금융 산업과 사회적 파급 효과

노우비포 보고서는 금융권 사이버 공격이 산업 차원을 넘어 사회와 경제 전반에 영향을 미칠 수 있음을 강조한다. 전 세계 금융기관 대상 랜섬웨어 공격의 60%는 미국에서 발생했으며, 미국과 영국이 전체의 70% 이상을 차지했다. 그러나 최근에는 남아시아와 라틴 아메리카 등 신흥 시장을 겨냥한 공격이 빠르게 증가하고 있다. 이는 글로벌 금융 인프라가 특정 지역에 국한되지 않고, 전 세계적으로 공격 위험이 확산되고 있음을 보여준다.

뉴욕 연방준비은행의 직원 보고서에 따르면 주요 은행의 결제 서비스가 단 하루만 중단되더라도 전 세계 네트워크 은행의 38%가 영향을 받을 수 있다. 이는 금융 서비스가 단순한 기업 차원의 운영 문제가 아니라, 글로벌 경제의 핵심 인프라로 기능한다는 사실을 입증한다. 따라서 사이버 공격은 금융 시장의 신뢰도 저하, 국제 결제 지연, 글로벌 투자 심리 위축 등 광범위한 영향을 초래할 수 있다.

인적 요소의 중요성과 대응

보고서에서 가장 주목할 점은 대형 금융기관 직원 중 약 45%가 피싱 공격에 취약하다는 사실이다. 이는 단순히 기술적 보안 장치 강화만으로는 충분치 않음을 보여준다. 다만, 보안 인식 교육을 통해 피싱 가능성 지수(Phish-prone Percentage, PPP)를 44.7%에서 5% 미만으로 낮출 수 있다는 결과는 금융기관이 인적 위험 관리에 투자해야 하는 근거가 된다.

노우비포 보안 인식 제고 전문가 제임스 맥퀴건(James McQuiggan)은 “공격자들은 금융권을 상대로 우위를 점하고 있으며, 전통적인 방어 체계만으로는 더 이상 충분하지 않다”고 밝혔다. 그는 이어 “유효한 인증정보 탈취가 랜섬웨어보다 탐지를 피하기 쉽고 효과적이라는 점이 입증되고 있다”며, “결국 보안의 승패는 사람에 달려 있고, 금융기관들은 인적 위험 관리를 최우선 과제로 삼아야 한다”고 강조했다.

노우비포의 보고서는 글로벌 금융권이 AI 기반 공격, 인증정보 탈취, 공급망 취약성이라는 복합적 위협에 직면해 있음을 명확히 보여준다. 보고서의 수치는 금융권이 이미 전례 없는 수준의 공격을 받고 있음을 입증하며, 이는 금융 산업과 글로벌 경제의 안정성에 직접적인 위협으로 작용한다. 금융기관이 직면한 위협은 단순한 기술적 문제가 아니라 산업·사회 전반에 미치는 체계적 리스크로, 인적 위험 관리와 기술적 대응을 동시에 강화해야만 한다.