◆ 핵심 요약

□ IMF, 2017년부터 축적한 사이버 리스크 규제·감독 실무 경험을 집대성하여 금융당국 맞춤형 '모범 사례 지침서' 발표

• 금융권 사이버 공격이 2019년 대비 약 2배 증가하며 규제·감독 체계 강화 시급성 대두

• IMF는 3대 핵심 모범 사례: ① 유연한 맞춤형 규제 설계, ② 현장 밀착 감독 강화, ③ 실전형 사이버 모의훈련 실시를 제시

◆ 보고서 개요

□ IMF 통화자본시장국, 2026년 1월 부서간행물(Departmental Paper) 「사이버 리스크 규제·감독 모범 사례(Good Practices in Cyber Risk Regulation and Supervision)」 발표

• 2017년 출범한 IMF 사이버 리스크 업무프로그램을 바탕으로, 선진국·신흥국·개도국 대상 금융부문평가프로그램(FSAP) 및 기술지원(TA) 사례 집대성

• 중앙은행·감독당국 실무자, 관리자, 고위직을 주요 독자로 설정하여 '사이버 리스크 감독 툴박스'* 개발 및 보급

* 사이버 리스크 감독 툴박스(Toolbox): 규제 모델, 감독 매뉴얼, 검사 가이드 등 8개 요소로 구성된 실무 지침 가이드

□ 금융권 사이버 공격 급증과 시스템 리스크 전이 가능성 확대

• 피해 규모: 전체 사이버 사고의 약 20%가 금융권에 집중되고 있으며, 2020~2023년 금융권 직접 손실 누계는 25억 달러(약 3조 6,600억 원)로 보고 (간접 손실 포함 시 실제 피해는 수 배 상회 추정)

• 위협의 고도화: 사이버 공격 건수는 2019년 대비 약 2배 증가하였으며, AI·딥페이크 기반 공격 자동화 및 양자컴퓨터의 암호화 위협 등으로 위험 환경이 구조적으로 심화

• 시스템 리스크 전이 가능성: 금융서비스의 정보통신기술(ICT) 의존도 심화 및 금융시스템의 상호연계성 확대로 인해 개별 사고가 전체 시스템 리스크로 전이될 가능성 증대

◆ 주요 내용 상세

□ 모범 규제 관행: IT·사이버 리스크 규제 통합 및 규모별 차등 규제 권고

• 단일 프레임워크 통합: 기존에 분리 규율하던 IT 리스크와 사이버 리스크를 단일 '기술 리스크 관리' 프레임워크로 통합하되, 원칙 중심·기술 중립적 접근을 기본으로 하고 금융권 리스크 관리 성숙도에 따라 세부 규정 보완 권고

• 비례적 차등 규제: 기관의 규모와 복잡성에 따라 차등 규제 적용. 시스템 파급력이 큰 중요 기관에는 최고 수준을 전면 적용하고, 소규모·단순 기관에는 기준선 요건만 적용

모범 감독 관행: 현장 밀착 감독 및 테마별 기획 점검 활성화

• 실무 역량 우선 투자: 강력한 규제 체계 도입보다 인력·프로세스 등 실무 역량 개선에 우선 투자 필요. 사이버 리스크 전담 조직 설치, 기술 자격증 취득 지원, 민감 정보 접근에 따른 신원조사 의무화 등 감독 인력의 전문성 강화가 감독 효과성의 결정적 요소

• 투트랙(Two-track) 점검 체계 병행: ①원격감독(Offsite): 데이터를 활용한 정량·정성 정보 상시 모니터링, ②현장검사(Onsite): 리스크 관리 실효성을 확인하는 표본검증(Sample testing) 중점 정기 검사

• 테마별 기획 점검*: 복수 기관의 공통 취약점 파악 및 부문 전반의 모범 사례 도출에 효과적인 점검 방식 활용

* 테마별 기획 점검(Thematic Review): 감독당국이 금융회사를 검사할 때 '특정 핵심 주제'를 선정하여 여러 금융회사를 집중적으로 점검하는 방식

모의훈련 및 리스크 관리: 당국 주도의 실전형 훈련 체계 구축

• 다층적 훈련 체계: 피싱 훈련, 도상 훈련(Tabletop Exercise), 위협 기반 침투 테스트(TLPT), 부문 전체 훈련 등 다층적 모의훈련 체계 구축 권고

• 다년도 프로그램 설계: 이해관계자 조기 참여, 리스크 기반 우선순위 설정, 훈련 후 개선 계획(After-action Report) 수립·이행을 통해 훈련 프로세스 제도화

• 금융시장인프라(FMI) 복원력 강화: 제3자 서비스 제공자 집중 리스크 모니터링, 당국 간 정보공유 체계 구축, 지급결제 및 시장인프라 위원회·국제증권감독기구(CPMI-IOSCO)의 사이버 복원력 가이드라인 이행 점검 강화

◆ 전망 및 시사점

□ 사이버 규제 및 감독에 대한 기대수준이 전반적으로 상향 조정될 전망이며, 제3자 리스크 관리 및 모의훈련 분야의 규율 강화 본격화

• 다수 국가에서 기존의 IT 및 사이버 리스크 규제를 단일 '기술 리스크 관리' 프레임워크로 통합하는 작업이 가속화될 전망

• 외부 IT 서비스 의존도의 급격한 확대에 대응하여, 핵심 서비스 제공자(TSP)를 직접적인 사이버 리스크 감독 체계에 편입하는 것이 차세대 주요 과제로 부상

• 시스템적 중요 금융회사(SIFI) 및 금융시장인프라(FMI)에 대한 당국 주도의 사이버 위기 모의훈련 참여가 확대될 전망

• 형식적 규제 도입을 넘어 실질적인 감독 역량 강화가 요구되며, 금융시스템 복원력 제고를 위한 다차원적 국제 협력 필수

• 형식적인 규제 체계가 마련되어 있더라도 감독 역량이 부재하면 실효성 확보가 어려우므로, 규제 설계보다는 인력·기술·프로세스 등 감독 실무 역량 강화에 우선적인 투자 필요

• 사이버 사고 보고 체계 및 정보공유 네트워크가 미비한 신흥시장과 개도국은 장기적인 역량 구축 프로그램의 체계적 추진 시급

• 금융시스템의 사이버 복원력을 높이기 위해 규제 기준 수렴, 위협 인텔리전스 공유, 금융안정위원회(FSB)·바젤은행감독위원회(BCBS)·CPMI-IOSCO 등 국제기구 간 규제·감독 협력 강화가 핵심 요소로 작용