“신용평가에 보안 반영”…미국·EU, 사이버 위험이 기업운명 가른다

사이버보안 수준이 기업 신용평가의 핵심 지표로 부상하면서, 글로벌 금융계의 평가 기준이 급속히 재편되고 있다. 미국과 유럽은 주요 법제와 디지털 위험 관리 정책을 통해 사이버보안 역량을 신용등급 산정에 직접 반영하는 체계로 전환했다. 반면 국내는 여전히 재무제표에 치우친 전통적 관행에서 벗어나지 못해 제도적 시급성이 제기되고 있다. IT·바이오 융합이 빠르게 확장되는 만큼, ‘사이버 위험’은 단순한 기술 과제가 아니라 사업 연속성과 금융 신뢰까지 흔드는 본질적 리스크로 주목받고 있다. 업계는 이러한 변화가 향후 금융·IT 산업 경쟁의 분기점이 될 전망으로 해석하고 있다.

이러한 변화의 중심에는 미국과 유럽의 규제 및 신용평가 혁신이 있다. 유럽연합(EU)은 2024년 1월부터 디지털운영회복력법(DORA)을 발효함으로써, 금융기관을 비롯한 기업 전반에 사이버보안 회복력에 대한 평가를 의무화했다. 이는 소프트웨어 및 IT시스템의 전체 보안 체계와 운용 능력까지 정량적으로 평가하는 구조다. 글로벌 신용평가사 무디스의 경우, 2024년 평가 중 약 22조3천억 달러 규모의 부채가 ‘사이버 공격 고위험군’에서 기인했다고 분석했다. 이는 2019년과 비교해 1조 달러 이상 증가한 수치로, 사이버 위험이 기업 신용도에 미치는 실제적 영향력이 커지고 있음을 단적으로 보여준다.

사이버보안 신용평가의 기술적 근간에는 ‘공격 표면 관리(ASM, Attack Surface Management)’와 보안등급 산정 시스템이 있다. 예를 들어 시큐리티스코어카드는 전 세계 100만개 이상의 기업 IT 자산을 자동 스캔해 외부 노출 취약점, 소프트웨어 패치 현황, 엔드포인트 보안, DNS 건전성 등 10개 핵심 항목에 걸쳐 200여 세부지표를 정량 분석한다. 이 데이터를 바탕으로 금융기관의 대출 심사나 보험 상품 설계 시 ‘보안 등급’이 객관적 리스크 지표로 쓰인다. 국내에서는 안랩, SK쉴더스, 이글루코퍼레이션, 엔키화이트햇, AI스페라 등 다수 보안기업이 ASM 기반 서비스와 신용연동 모델을 제공 중이다. 업계에 따르면 관련 기술력은 미국, 유럽과 비교해도 크게 뒤처지지 않는다.

글로벌 대비 국내 상황은 다르다. NICE신용평가, 한국신용평가 등 국내 기업들도 ESG 평가체계는 빠르게 받아들였으나, 사이버보안 특화 평가 항목은 신용등급 체계에서 여전히 배제돼 있다. “내년까지 사이버 평가가 전통적 신용평가만큼이나 중요해질 것”이라는 가트너 등 글로벌 시장조사업체의 전망에도, 한국은 평가·인증 체계와 금융 규제의 선제적 변화가 부족한 실정이다.

전문가들은 “사이버 위험은 사업 중단, 개인정보 유출, 공공 신뢰 상실 등으로 즉각적인 재무위험을 초래할 수 있다”며 “보안 수준은 이제 회계적 수치와 동등한 평가요소가 돼야 한다”는 데 입을 모으고 있다. 또 “기업 신용도가 단기간 내 무너질 경우, 자금조달 비용 상승과 시장 신뢰의 연쇄적 추락이 불가피하다”는 경고도 나온다.

산업계는 이번 신용평가 기준의 국제적 변화가 실제 국내 시장과 제도에도 언제, 어떻게 반영될지를 주시하고 있다. 정량적 보안평가와 신용등급 연계를 제도화하는 것이, 금융·IT 산업 모두의 글로벌 경쟁력 유지에 필수 요건이 될 전망이다. 기술과 제도, 윤리적 기준의 동시 진화가 새로운 성장 조건으로 자리매김하는 흐름이다.