유럽의 증권시장 감독기구가 인공지능(AI) 모델의 발전이 사이버공격의 속도와 위험을 높일 수 있다며 시장 리스크에 대한 경계를 강화하고 있다.
2026년 4월 24일, 로이터의 보도에 따르면, 유럽증권시장청(ESMA)의 의장 베레나 로스(Verena Ross)는 파리에서 가진 인터뷰에서 지정학적 긴장이 사이버보안 위험을 증가시켰고, ESMA가 감독 대상인 금융기관들에게 최근 AI 발전을 고려해 사이버 방어를 점검하라고 연락을 취하고 있다고 밝혔다.
AI 모델을 도입하는 것이 공격이 발생할 수 있는 잠재적 속도를 높일 수 있는지 면밀히 관찰하고 있다
로스 의장은 특정 공급업체에 관해서는 언급을 피했다면서도, 최근 미국 AI 기업 앤트로픽(Anthropic)이 개발한 새로운 AI 모델 ‘Mythos’가 기존에 알려지지 않은 정보기술(IT) 시스템의 취약점을 찾아 악용할 수 있다는 보도가 금융권을 동요시켰다고 지적했다. 이 사건은 규제 당국 역시 빠르게 진화하는 기술 변화에 보조를 맞추는 데 어려움을 겪고 있음을 보여준다고 말했다.
핵심 감시 대상과 규제 대응
로스 의장은 국가 단위와 EU 차원에서 역량을 강화해야 한다며 금융기관들이 이 분야에서 무엇을 하고 있는지 제대로 들여다볼 수 있는 능력을 갖추고, 중요한 제3자 서비스 제공자(critical third-party providers)에 대한 감독 전문성을 축적해야 한다고 강조했다. ESMA는 2025년 11월에 다른 두 유럽연합(EU) 규제기관과 함께 금융산업에서 중요한 19개 기술회사를 ‘중요 제3자 제공자’로 지정했음을 상기시켰다. 로스 의장은 AI 제공업체가 향후 이 그룹에 추가될 수 있는지에 대해서는 답변을 회피했다.
사이버 리스크와 자산평가의 상호작용
로스 의장은 사이버 리스크가 금융자산의 재평가(reassessment of valuations)와 맞물릴 수 있는 잠재적 취약점이라고 밝혔다. 유가의 큰 폭 변동, 특히 미국과 이스라엘의 이란 전쟁 발발 이후 유가 급등은 투자자들을 흔들었다고 전했다. 미국과 기타 지역의 주식시장은 대형 기술기업의 호조에 힘입어 사상 최고치 부근에 있으나, 전반적인 밸류에이션(평가 수준이 매우 높다)는 어떤 사건이 시장의 긍정적 분위기를 반전시켜 큰 매도세로 이어질지 여부를 불확실하게 만든다고 말했다.
또한 로스 의장은 58세로, 2026년 10월 31일부로 직위를 물러날 예정임을 밝히면서, 큰 폭의 시장 변동은 내부자거래 의혹 등 감독 당국의 정밀조사를 불러일으키는 경향이 있다고 설명했다. 실제로 미국 상품선물거래위원회(CFTC)는 언론 보도에 따르면 유가 파생상품 관련 일련의 거래들을 조사 중이다.
암호화폐(크립토) 규제와 집행 강화
로스 의장은 EU 국가들의 국가 규제기관들이 암호화폐 업체를 감독할 책임을 지고 있으며, 해당 업체들은 6월 말까지 허가를 받거나 서비스를 중단하라는 요청을 받았다고 지적했다. 프랑스 규제당국은 2026년 1월에 허가받지 않은 암호화폐 업체의 거의 3분의 1이 허가 계획을 규제기관에 통지하지 않았다고 발표한 바 있다. 로스 의장은 7월 1일 이후의 집행과정에서 ‘경계(perimeter)의 집행’ 문제가 주요 과제 중 하나가 될 것이라고 말했다.
한편 유럽위원회(European Commission)는 ESMA에 더 많은 권한을 부여해 주요 국경 간 금융시장 플레이어(예: 주요 거래소 및 암호화폐 기업)를 감독하게 하는 방안을 제안했다. 이는 감독의 중앙집중화와 EU 금융시장의 분열 완화를 목표로 하는 광범위한 패키지의 일부이다. 이 계획은 EU 내 6대 경제국의 지지를 받고 있으나 일부 국가의 반대도 존재한다. 로스 의장은 현재 정치적 의지가 빠르게 진전하려는 방향으로 보인다고 평가했다.
전문 용어 설명
본 기사에서 언급된 몇몇 기술 용어와 제도적 표현은 다음과 같이 이해할 수 있다. 중요 제3자 제공자(critical third-party providers)는 금융회사가 핵심 운영을 위해 의존하는 외부 기술·서비스 공급자를 뜻한다. 제로데이 취약점에 준하는 표현으로 본문에 등장하는 ‘이전에 발견되지 않은 취약점’은 소프트웨어나 시스템에서 알려지지 않아 즉시 악용될 수 있는 보안 결함을 의미한다. 또한 ESMA는 유럽 연합 수준에서 증권시장 관련 규제를 조정·감독하는 기관이다.
시장·경제에 미칠 수 있는 영향과 전망
전문가 분석에 따르면 AI가 사이버 공격의 탐지·공격 속도를 증대시킬 경우 단기적으로는 다음과 같은 영향이 발생할 가능성이 있다. 첫째, 금융기관과 거래소의 운영 리스크가 현실화되면서 단기적 유동성 긴축과 자산 가격의 변동성이 확대될 수 있다. 둘째, 대형 기술주에 대한 밸류에이션 조정 압력이 높아져 주가 변동성 및 포트폴리오 재조정이 촉발될 수 있다. 셋째, 금융기관의 사이버보안 투자 확대와 규제 준수 비용 증가로 인해 금융권 전반의 비용구조 변화와 마진 압박이 나타날 수 있다. 장기적으로는 규제의 중앙집중화와 중요한 제3자 제공자에 대한 감독 강화가 이루어질 경우 시스템적 리스크는 완화되는 반면, 감독·준수 비용의 구조적 상승이 지속될 가능성이 있다.
특히 암호화폐 부문은 6월 말 허가 마감과 7월 1일 이후의 집행 과정에서 상당한 유동성 이동과 서비스 중단, 기업 구조조정이 발생할 수 있다. 이는 관련 마켓메이커와 거래소의 활동 위축으로 이어져 단기적 거래량 감소 및 가격 변동성을 유발할 수 있다.
종합 평결
ESMA 의장 베레나 로스의 발언은 AI 기술의 진화가 단순한 혁신을 넘어 금융시장에 즉각적이고 실질적인 운영·안전 리스크를 불러일으킬 수 있음을 시사한다. 규제기관과 금융기관은 기술적 전문성 확충, 제3자 리스크 관리 강화, 시장 모니터링 체계 고도화 등을 통해 이러한 리스크에 선제적으로 대응할 필요가 있다. 동시에 투자자들은 높은 밸류에이션 구간에서 발생 가능한 외부충격의 가능성을 염두에 두고 자산배분과 리스크관리 전략을 점검해야 할 것이다.
