美·유럽은 기업 신용평가시 '사이버 보안수준' 반영한다는데…韓은?
등록 2025.09.24 17:36:52수정 2025.09.24 19:50:24
美·EU, 기업 대출·상장 시 보안위험 평가 반영…韓은 재무제표 중심 평가만
평가 보안기술 국내 有…"제도적 연결고리 없어 반쪽짜리 평가 그쳐"
참고용 이미지. 재판매 및 DB 금지/ 유토이미지 *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 기업의 종합 신용 등급을 평가할 때 사이버보안 수준을 반영하는 것이 글로벌 금융의 새로운 기준으로 자리잡고 있다. 그러나 우리나라는 여전히 재무제표 중심의 전통적 평가체계에 머물러 있어 제도적 전환이 시급하다는 지적이 나온다.
美·EU는 신용평가에 '사이버 위험' 반영…韓은 아직
보안업계와 보험업계가 뒤늦게 손을 잡고 대응에 나서고 있지만 이미 미국과 유럽은 한발 앞서 '사이버보안 신용평가'라는 새로운 기준을 채택해 실질적 리스크 관리에 돌입한 상태다.
유럽연합(EU)은 올해 1월부터 디지털운영회복력법(DORA)을 시행해 모든 금융기관에 사이버보안 회복력 평가를 의무화했다. 이 법은 금융 산업의 디지털 의존도가 빠르게 높아진 현실에 대응해 소프트웨어(SW)와 IT 시스템 전반의 보안 체계를 정비하고 강화하려는 목적을 담고 있다. EU 금융당국은 이 평가를 기업의 신용도와 리스크 관리의 핵심 기준으로 보고 있다.
아울러 글로벌 신용평가사 무디스는 자신들이 평가하는 전체 부채 80조달러(약 11경2000조원) 가운데 약 28%, 즉 22조3000억달러(약 3경1000조원)가 사이버 공격 위험이 높거나 매우 높은 조직에서 나온 것이라고 밝힌 바 있다. 무디스는 이 수치가 2019년에 비해 1조 달러 이상 증가했다며, 사이버 보안 위협이 기업의 신용도에도 큰 영향을 미치는 중요한 요소로 떠오르고 있다고 분석했다.
반면, 한국의 상황은 대조적이다. NICE신용평가, 한국신용평가 등 국내 주요 신용평가 기관들이 ESG 평가는 도입했지만 사이버보안 특화 평가는 여전히 평가 제도 밖이다. 가트너는 "내년까지 사이버보안 평가가 기존 신용평가만큼이나 중요한 비즈니스 리스크 판단 기준이 될 것"이라고 전망했지만, 한국은 이런 글로벌 흐름에서 한참 뒤처져 있는 셈이다.
보안도 회계처럼 평가해야…신용평가 기준 전환 시급
기업 보안위험을 평가하는 시큐리티스코어카드가 활용하는 방식을 보면, 공격 표면 관리(ASM) 기술이 핵심이다. 시큐리티스코어카드는 전 세계 100만개 이상의 기업을 대상으로 보안등급을 산정해 금융기관의 대출심사에 필요한 데이터를 제공하고 있다.
공격 표면 관리는 기업의 외부에 노출된 모든 IT 자산을 자동으로 스캔하고 취약점을 실시간으로 분석해 점수화한다. 200개 이상의 세부 측정 항목을 통해 ▲애플리케이션 보안 ▲DNS 건전성 ▲패치 관리 수준 ▲엔드포인트 보안 등 10개 핵심 영역을 종합 평가하는 방식이다.
기술 기반은 국내에도 충분히 마련돼 있다. 국내 1위 보안 기업 안랩 뿐만 아니라 SK쉴더스, 이글루코퍼레이션, 엔키화이트햇, AI스페라 등 역시 공격 표면 관리를 제공하고 있다.
보안 업계 관계자는 "이제는 회계 기준만으로 기업의 안정성을 평가하는 시대는 지났다"며 "사이버 침해는 단기간에 기업의 신용도를 무너뜨리고, 장기적인 자금조달 비용 상승과 시장 신뢰 추락으로 이어질 수 있는 치명적 변수"라고 경고했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
