“사이버 보안 신용평가”…美·EU 도입 가속, 한국은 제도 전환 과제로

사이버보안 평가가 기업 신용도 산정의 핵심 기준으로 부상하면서, 글로벌 금융 산업의 판이 빠르게 바뀌고 있다. 미국과 유럽연합(EU)은 실제 기업 대출과 투자 결정에서 디지털 보안 수준을 반영하는 체계를 갖춘 반면, 한국은 여전히 재무제표 중심의 전통적 평가에 머물러 있어 제도적 전환 필요성이 커지고 있다. 업계는 이번 변화가 디지털 리스크 관리 패러다임의 분기점이 될 것으로 바라본다.

실제 EU는 올해 1월부터 시행된 디지털운영회복력법을 통해 모든 금융기관에 보안 회복력 평가를 의무화했다. 해당 법률은 소프트웨어, IT 시스템 전반의 방어 체계 평가를 표준화하고, 이를 신용도와 리스크 관리의 중요한 축으로 보고 있다. 글로벌 신용평가사 무디스는 전체 평가액의 28%에 해당하는 약 22조3000억달러 규모가 높은 사이버 공격 위험에 노출돼 있다고 밝혔으며, 최근 5년 간 이 비중과 금액 모두 증가 추세라고 지적했다. 사이버보안을 신용등급 평가의 실질적 기준으로 반영하는 추세는 이미 국제 금융 시장에서 빠르게 확산되고 있다.

국내 상황은 대조적이다. NICE신용평가, 한국신용평가 등 국내 기관에서도 ESG 평가가 일부 적용되나, 해외처럼 사이버보안 리스크가 실질적으로 반영되는 전용 평가제도는 미비한 실정이다. 미국 가트너는 “2025년까지 사이버보안 평가지표가 기존 신용평가만큼 중요해질 것”이라고 전망했지만, 국내 법 제도와 신용평가 시스템은 이에 미치지 못하고 있다.

기술적 구현 역시 글로벌과 국내 모두 이미 가능하다. 시큐리티스코어카드를 비롯한 해외 서비스는 기업의 외부 노출 IT 자산을 자동 스캔하는 공격 표면 관리(ASM) 기술을 통해 10개 핵심 영역, 200여 세부항목에서 보안등급을 산정한다. 국내의 안랩, SK쉴더스, 이글루코퍼레이션, 엔키화이트햇, AI스페라 등도 동일한 ASM 기반 솔루션을 제공하면서 기술적 인프라는 준비된 상황이다. 다만, 해당 솔루션이 실제로 국내 신용평가에 반영된 사례는 아직 드물다.

해외에선 사이버보안 수준이 실질적인 재무리스크, 즉 사업 중단·정보유출·자금조달 비용 증가 등 복합 손실과 직결된다는 시각이 보편화됐다. 업계는 “이제는 단순 재무정보가 아닌, 디지털 보안 평가가 기업 신뢰와 자본 접근성의 핵심 요인”이라며 신용평가기관, 정부, 보안기업 간 협력 체계 구축의 시급성을 강조하고 있다.

전문가들은 “한국 기업의 글로벌 신인도 제고와 시장 신뢰 확보를 위해서라도 사이버보안 평가 표준화가 필요하다”며, “금융권·공공기관 중심으로 시범 도입이 이뤄질 경우 체계적 확산의 전환점이 될 수 있다”고 강조했다. 산업계는 이 같은 변화가 실제 정책과 시장에 안착할 수 있을지 주목하고 있다.