밤잠 설치게 하는 건 금리가 아니라 사이버 공격

금리도, 지정학적 충격도 아니다. DBS 최고경영자 탄 수 샨이 밤잠을 설치게 하는 건 사이버 공격이다.

"새로운 전쟁은 사이버 전쟁입니다. 누가 누구를 공격할지, 어떻게 공격이 일어날지, 사람들이 어떤 피해를 입을지—그게 저를 잠 못 들게 합니다."

아시아 최대 은행 중 하나를 이끄는 CEO의 입에서 나온 말치고는 꽤 직접적이다. 지난 22일 싱가포르에서 열린 DBS 연례 행사 'CONVERGE LIVE' 현장에서 탄 수 샨은 CNBC와의 인터뷰를 통해 금융 산업이 직면한 리스크의 무게중심이 어디로 이동하고 있는지를 명확히 짚었다.

"아무것도 믿지 마라"—은행이 스스로를 의심하는 이유

DBS가 내부적으로 사이버 보안에 접근하는 방식은 단순한 방어 전략이 아니다. 탄 수 샨이 직접 표현한 원칙은 "아무것도 가정하지 말고, 아무것도 신뢰하지 말고, 아무도 믿지 마라(Assume nothing, trust nothing, trust nobody)"다. 제로 트러스트(Zero Trust) 아키텍처를 조직 문화로 내면화한 셈이다.

이 원칙은 실제 운영 방식으로도 이어진다. DBS는 '레드 팀(Red Teaming)'—즉 내부에서 해커 역할을 맡아 자사 시스템을 지속적으로 공격·테스트하는 방식—을 상시 운영하고 있다. 목표는 하나다. 외부 공격자가 취약점을 발견하기 전에 내부에서 먼저 찾아내는 것.

탄 수 샨은 이 문화를 "의도적 편집증(deliberate paranoia)"이라고 불렀다. 과장이 아니다. 금융 시스템은 하루에도 수억 건의 트랜잭션이 오가는 인프라다. 단 한 번의 침해가 수백만 명의 자산과 신뢰에 직결된다.

AI가 열어준 문, AI가 넓힌 허점

광고

광고주 모집

[email protected]

광고

문제는 AI다. 생성형 AI와 '에이전틱 AI(Agentic AI)'—스스로 판단하고 행동하는 자율형 AI—의 부상은 금융 산업에 효율성과 리스크를 동시에 가져왔다.

탄 수 샨의 표현을 빌리면 "환상적인 기회이자, 환상적인 도전, 그리고 많은 두려움"이다. AI가 고객 응대, 사기 탐지, 리스크 분석 등 핵심 업무에 깊숙이 들어올수록 '공격 표면(Attack Surface)'—외부 공격자가 침투할 수 있는 진입점의 총합—이 넓어진다.

특히 AI가 실제 고객 데이터나 핵심 뱅킹 인프라에 직접 연결되는 순간, 가드레일 없는 배포는 단순한 기술 실수가 아니라 시스템 전체를 흔들 수 있는 취약점이 된다. 탄 수 샨은 "프로덕션 환경에 닿는 순간, 모든 관련 안전장치가 갖춰져 있는지 반드시 확인해야 한다"고 강조했다.

DBS가 대응책으로 강조하는 것은 '데이터 생애주기 관리(Data Lifecycle Management)'다. 데이터가 생성되는 순간부터 삭제될 때까지 접근 권한, 감사 추적, 투명성을 엄격히 통제하는 체계다. 데이터가 어디에 있고, 누가 접근했고, 어디로 흘러갔는지를 항상 파악해야 한다는 뜻이다.

한국 금융권은 어디쯤 서 있나

이 이야기가 한국과 무관하지 않다. 국내 금융 산업도 AI 도입을 빠르게 확대하고 있다. KB국민은행, 신한은행, 카카오뱅크 등은 생성형 AI를 고객 서비스와 내부 업무 자동화에 적극 활용 중이다. 문제는 속도와 안전 사이의 균형이다.

한국인터넷진흥원(KISA) 자료에 따르면, 2024년 국내 금융권 사이버 침해 신고 건수는 전년 대비 23% 증가했다. 랜섬웨어, 피싱, 내부자 위협이 주요 경로였다. AI가 사이버 공격의 '자동화'와 '정교화'를 동시에 가능하게 하면서, 방어 측도 AI 없이는 대응이 어려운 구조가 되어가고 있다.

동시에 탄 수 샨이 언급한 거시적 충격—팬데믹, 무역 갈등, 지역 분쟁—은 한국 기업들에게도 낯설지 않다. 공급망 충격, 미중 기술 갈등, 북한발 사이버 위협까지 더하면, 한국 금융기관이 직면한 사이버 리스크의 지형은 DBS보다 결코 단순하지 않다.

탄 수 샨의 조언은 단순하다. "최악을 대비하고, 최선을 바라되, 플레이북을 준비해두라." 위기가 '만약'의 문제가 아니라 '언제'의 문제라는 전제 아래서 나온 말이다.