미국 정부가 사이버 테러에 대해 월가 금융시스템을 대혼란에 빠트릴 수 있는 '블랙 스완'(black swan)으로 지목하고 은행 구제금융 법안 손질 등 대책 마련을 서두르고 있다.
해커들이 개인 정보를 빼내 지하 암시장에서 거래하는 차원을 넘어 러시아 등 잠재 적대국들이 월가를 겨냥한 대규모 사이버 공격을 단행할 경우 9.11 테러나 2008년 글로벌 금융위기 때처럼 금융 시스템이 마비될 수 있다는 것이다. 블랙스완은 발생 가능성이 적지만 일단 일어나면 엄청난 파급효과를 불러오는 돌발 악재를 말한다.
최근 블룸버그 등 외신에 따르면 미 재무부와 월가 대형은행들은 사이버 테러로 금융계의 컴퓨터 시스템이 손상됐을 때 은행에 구제금융을 투입하는 방안을 물밑에서 논의 중이다. 현재 미 연방수사국(FBI)은 JP모건 체이스 등 최소 4개 금융기관이 지난달 해킹 공격을 당한 것이 단순한 금융 범죄가 아닌 우크라이나 사태로 서방권 제재를 받은 러시아의 보복 공격일 가능성이 있다고 보고 수사 중이다.
리스크관리협회의 에드워드 드마르코 법무 자문위원은 "정교하게 진행된 이번 사이버 테러는 앞으로 나타날 무시무시한 공격의 전조"라며 "그 같은 상황이 도래하면 대통령의 행정명령 발동 외에는 사태 해결 방법이 없을 것"이라고 말했다.
이 때문에 미 금융당국은 연방정부의 공적 자금을 은행 파산이 아닌 해커 공격에 대해서도 지원하는 방안을 검토 중이다. 사이버 테러로 금융 혼란이 발생할 경우 은행들의 자체 자금이나 보험사 보상액으로는 모든 손실을 충당할 수 없다는 것이다. 또 미 금융당국은 은행이나 헤지펀드 등에 대해 해킹 방어벽 강화를 요구 중이다.
지난 4월 미 증권거래위원회(SEC)도 증권중개회사와 투자자문사 등 50여 곳에 대해 사이버 공격 피해를 복구하는 능력을 나타내는 '사이버 탄력성'(Cyber resilience)을 평가하겠다고 밝히기도 했다. 블룸버그는 "금융권의 기록 파괴나 계좌 유출, 네트워크 마비 등 최악의 사태가 발생한다면 9.11 테러나 2008년 신용 붕괴와 맞먹는 경제 충격을 줄 것"이라고 설명했다.
미 정부는 또 테러위험보호법(TRIA)의 적용 대상을 건물 파괴 등 물리적 손실 외에 사이버 공격으로 인한 금융 피해까지 확대하는 방안을 의회와 논의 중이다. TRIA는 9.11 사태 이후 테러로 인한 보험사 손실 지원 등을 위해 제정됐는데 올해 개정 작업을 진행 중이다. 이 법은 테러 공격 때 보험사는 당초 정해진 손실만 보상하는 반면 나머지 손실에 대해 정부가 최대 1,000억 달러까지 부담하도록 하고 있다. 연방비상재난관리청(FEMA)은 지난 2012년 이미 사이버 테러로 인한 물리적 피해에 대해서는 TRIA를 적용할 수 있다고 밝혔으나, 여기에 더해 무형의 피해도 보상 대상에 포함시키자는 것이다.
미 보험정보연구소에 따르면 9.11 테러 당시 금융시장 폐쇄 등 간접 피해를 제외하고도 보험사의 보상액은 429억 달러에 달했다. 뉴욕주 등 주정부의 경우 대형 재난이 발생했을 때 연방 정부가 신속 지원할 수 있도록 제정된 스태포드법(stafford act)을 사이버 금융 혼란에도 적용해야 한다고 미 의회에 요구 중이다.
이처럼 미 정부가 대책 마련을 서두르는 것은 사이버 테러로 인한 금융 혼란이 시간문제라는 경고가 쏟아지고 있기 때문이다. 컴퓨터 보안업체인 시만텍에 따르면 지난해 금융기관들이 외부로부터 받은 트로잔 바이러스 공격 건수는 1,400건으로 전년의 세 배로 늘었다. 이 가운데 71.5%는 미 금융기관이었다.
또 세계거래소연맹(WEF)이 전세계 46개 거래소를 대상으로 조사한 바에 따르면 응답자의 89%가 사이버 범죄를 잠재적 시스템 리스크로 지목하며 금융 손실 위험과 파멸적인 신뢰도 추락을 부를 수 있다고 우려했다. 최근 미 유통업체인 타깃이 4,000만 명의 고객 신용카드 정보를 도난당하는 등 비금융기관에 대한 공격도 끊이질 않고 있다.
국제증권감독위원회(IOSCO)의 그레그 메드크래프트 위원장은 최근 "최근 잇따르고 있는 사이버 범죄는 금융시장에 엄청난 잠재적 충격 요인"이라며 "다음 금융 충격이나 블랙 스완 이벤트는 사이버 공간에서 출현할 것"이라고 경고했다. 그는 이어 각국 규제 당국이 미국 주도로 사이버 공격 위기관리 기준을 마련해야 한다고 촉구하기도 했다.
빈번해진 사이버 테러에 일부 보험사는 데이터 손상 외에 해킹 조사, 사업 손실 등으로 보상 대상을 늘린 상품을 출시 중이다. 신상품을 내놓은 AIG의 경우 사이버 해킹 보험료를 2012년과 2013년에 각각 25%씩 올린 데 이어 올해도 30%나 인상했다. 하지만 이 같은 방식으로는 시스템 리스크에 대비할 수 없다는 지적이 끊이질 않고 있다.
워싱턴DC 보험위원회에서 일했던 로렌스 미렐은 "다음 사이버 테러는 은행계좌, 수표 등의 기록을 완전히 없애버리는 더 파괴적인 차원이 될 수 있다"며 "보험사들이 피해 규모를 예상하기 어렵고 심지어 어떤 기업들은 보험에 가입해도 피해를 완전히 보상받지 못한다는 사실조차 모르고 있다"고 우려했다. 이 때문에 일부 중소형 보험사들은 정부가 TRIA 개정 등 대책을 내놓지 않으면 사이버 테러 대비 상품을 더 이상 팔지 않겠다고 으름장을 놓고 있는 실정이다.