핵심 요약:
- ECB, 유로존 대출기관에 AI 사이버 공격 비상 계획 제출 명령
- 은행들, AI 기반 위협 대응을 위한 4개월 데드라인 직면
- 지침은 지급결제 및 시스템 신뢰를 뒤흔들 수 있는 리스크를 겨냥
핵심 요약:

유럽중앙은행(ECB)은 화요일 유로존 은행들에 대해 지급결제를 마비시키고 금융 시스템에 대한 신뢰를 훼손할 수 있는 AI 기반 사이버 공격에 대비한 비상 계획을 4개월 내 마련하라고 지시했다.
ECB에 따르면 이번 지침은 ECB의 직접 감독을 받는 모든 대출기관에 발행됐으며, 각 기관은 AI 기반 위협에 특화된 취약점을 식별하고 완화 전략을 개략적으로 제시해야 한다. 이번 조치는 2025년 1월 전면 시행된 디지털운영탄력성법(DORA)에 따른 기존 운영 복원력 요건에 추가된 것으로, 정보통신기술 리스크에 대한 표준화된 스트레스 테스트를 의무화한다.
유로존 은행들은 4개월 이내에 AI 도구가 피싱 캠페인 자동화, 거래 알고리즘 조작, 지급결제 인프라 침해에 사용되는 시나리오를 포함한 계획을 제출해야 한다. ECB 감독 부서는 유로화 결제 및 청산 시스템의 집중도를 고려할 때 AI 기반 공격을 증가하는 시스템적 우려 사항으로 지목해 왔다.
이번 지침은 인공지능과 금융 안정성의 교차점을 해결하려는 광범위한 규제 움직임을 반영한다. 영란은행에서 연방준비제도까지 각국 중앙은행이 AI 기반 사이버 리스크에 대해 유사한 경고를 발령했지만, ECB는 불이행 시 제재를 수반하는 구체적인 계획 수립 기한을 부과한 첫 번째 사례에 속한다.
유로존 대출기관들은 사기 탐지, 신용 평가, 고객 서비스를 위해 AI에 막대한 투자를 해왔지만, 동일한 기술이 위협 행위자들에 의해 점점 더 무기화되고 있다. ECB의 지침은 대출기관들이 방어적 AI 배치와 자체 AI 시스템으로 인해 발생하는 취약점(새로운 공격 표면을 만들 수 있음)을 구분하도록 요구한다.
4개월의 기한은 규제 기준으로 볼 때 상대적으로 짧은 편으로, ECB가 이 문제에 부여하는 시급성을 반영한다. ECB는 감독 대상 기관에 전달한 커뮤니케이션에서 기한을 준수하지 못한 은행은 강화된 감독 심사를 받을 수 있다고 밝혔다.
BNP 파리바, 도이체방크, 유니크레딧을 포함한 지역 최대 대출기관들에게 이번 지침은 이미 상승 중인 컴플라이언스 부담을 가중시키는 요인이다. ECB의 차기 감독 검토에서는 정기 스트레스 테스트 주기의 일환으로 은행들의 AI 리스크 프레임워크를 평가할 예정이며, 그 결과는 운영 리스크에 대한 자본 요건에 반영될 가능성이 높다.
ECB가 이처럼 가속화된 컴플라이언스 기한을 부과한 마지막 사례는 2022년으로, 당시 은행들에 대해 3개월 내 러시아 제재 노출 관리 계획을 제출하도록 요구했다. 해당 지침 이후 컴플라이언스 프레임워크가 부적절한 대출기관들에 대해 일련의 추가 자본 요구가 뒤따랐다.
본 기사는 정보 제공 목적만을 위한 것이며 투자 조언을 구성하지 않습니다.