호주 금융 규제당국(APRA)이 자국 은행 시스템이 지정학적 긴장 고조로 인해 사이버 공격 위험에 더 많이 노출되고 있다고 경고했다.
2025년 8월 20일, 로이터 통신의 시드니 발 보도에 따르면, APRA(호주 건전성 규제청) 의장 존 론스데일은 앞으로 1년 동안 은행들과의 협력을 강화해 잠재적 사이버 공격에 대응하겠다고 밝혔다.
APRA는 이날 공개한 2024/25 회계연도 연례보고서에서 “금융기관의 운영 시스템은 기술 장애와 악의적 사이버 공격에 갈수록 취약해지고 있다”고 강조했다.
론스데일 의장은 보고서에서 “지정학적 긴장이 고조되는 현 상황이 사이버 위험 환경을 더욱 악화시킬 수 있다”면서 “우리는 업계 전반의 감시 강도를 높이고, 테스트·시뮬레이션 및 규제 협의를 확대할 것”이라고 말했다.
“Operational systems in financial institutions are increasingly vulnerable to technology outages and malicious cyber-attacks.” – John Lonsdale, APRA 의장
보고서는 또한 인공지능(AI)의 확대 적용이 은행권이 직면한 새로운 위험으로 부상하고 있다고 평가했다. 자동화된 의사결정 과정이 복잡해질수록 보안 취약점이 늘어나고, 잘못 설계된 알고리즘이 시스템 리스크를 증대시킬 수 있다는 것이다.
지난해 전미호주은행(National Australia Bank·NAB)의 조사에 따르면 호주인 세 명 중 둘(약 67%)이 사이버 공격 또는 데이터 유출을 경험한 것으로 나타났다. 이는 사이버 범죄가 국민 생활 전반에 이미 깊숙이 침투해 있음을 방증한다.
APRA는 이러한 위험에 대응하기 위해 2024년 최초의 ‘지정학적 리스크 전담팀’을 신설했다. 전담팀은 영국·미국 등 주요 동맹국 규제기관과 정보를 공유하며, 금융권 공급망에 대한 위협 식별과 대응 전략을 수립하고 있다.
용어 설명*
• APRA(호주 건전성 규제청)은 은행·보험·연금 펀드 등 금융기관의 건전성을 감독하는 독립 정부기관이다.
• 지정학적 리스크란 국가 간 갈등, 제재, 전쟁 가능성 등으로 인해 경제·안보 구조가 변동하면서 발생하는 위험 요소를 말한다.
• 사이버 공격은 해커가 네트워크·시스템에 침투해 데이터 탈취, 서비스 마비, 금전 extortion 등을 시도하는 모든 행위를 포괄한다.
전문가 시각
호주 뉴사우스웨일스대(UNSW) 사이버보안센터의 데브 오마르 박사는 “금융 부문은 국가 기반시설 중에서도 해커가 선호하는 ‘고가치 표적’이다. 특히 지정학적 갈등이 심화되면 국경을 초월한 APT(Advanced Persistent Threat) 조직이 정부·기업 네트워크를 동시다발적으로 겨냥하는 경향이 뚜렷해진다”고 설명했다.
오마르 박사는 이어 “APRA의 조치는 선제적이지만, 각 은행 이사회가 보안 투자와 인력 재교육에 얼마나 기민하게 움직이느냐에 따라 실질적 방어력이 결정될 것”이라고 지적했다.
시장 영향
지난 12개월간 호주 증시에 상장된 4대 은행(커먼웰스·웨스트팩·ANZ·NAB)의 IT 예산은 평균 9% 증가했다. 업계 관계자들은 APRA의 요구사항이 강화될 경우 사이버 보안 솔루션 기업에 대한 투자 수요가 한층 확대될 것으로 내다본다.
향후 과제
APRA는 향후 12개월 내 모든 주요 은행에 대해 모의 침투(penetration) 테스트 및 위기 대응 훈련을 의무화할 방침이다. 또한 보고서는 은행들이 타사 클라우드 서비스 이용 시 ‘공급망 투명성’과 ‘데이터 주권’ 원칙을 더욱 엄격히 준수해야 한다고 촉구했다.
금융권 관계자들은 “사이버 보안은 단순한 IT 이슈가 아니라 기업 지배구조와 고객 신뢰를 좌우하는 핵심 의제”라며, 최고경영자(CEO)·이사회 레벨에서 리스크 관리 우선순위를 재정립할 필요가 있다고 입을 모았다.
한편, 보고서는 구체적인 공격 원점 국가를 공개하지 않았으나, 전문가들은 복수의 국가 지원 해킹 조직이 호주 금융권을 탐색하고 있다고 관측한다. 다만, 증거가 불충분하다는 이유로 APRA는 공식 언급을 자제했다.
호주 정부는 2023년 말 국가 사이버 보안 전략(2023-2030)을 발표하며 “2030년까지 세계에서 가장 안전한 온라인 환경 조성을 목표로 하겠다”고 천명했다. APRA의 이번 경고는 그 전략과 궤를 같이한다.
업계는 향후 발표될 ‘사이버 레질리언스(회복탄력성) 지표’를 주시하고 있다. 해당 지표는 시스템 다운타임, 사고 대응 속도, 고객 데이터 보호 수준 등을 정량화해 공시하게 될 것으로 예상된다.
결론
지정학적 리스크가 높은 현 시점에서, APRA의 경고는 호주 은행권이 사이버 방어 능력 강화에 나설 필요성을 분명히 보여준다. 전문가들은 기술적 보완뿐만 아니라 조직 문화·거버넌스 전반에서 ‘보안 중심 사고’를 정착시켜야만 지속가능한 경쟁우위를 확보할 수 있다고 제언한다.
