[리스크 관리] 시스템적 사이버리스크란 무엇인가?
시스템적 리스크 (Systemic Risk)란?
시스템적 리스크는 기업차원의 사건이 심각한 불안정을 촉발하거나, 전체 산업이나 경제를 붕괴시킬 만한 심각성을 지닌 리스크를 말한다. 시스템적 리스크는 자본 제공자(예금자, 투자자, 자본시장)가 자본 이용자 (은행, 차입자, 차입투자자)에 대한 신뢰를 잃게 되어 금융 시스템이 크게 붕괴될 때 발생할 수 있다.
대표적인 시스템적 리스크는 2008년 미국에서 발생한 금융위기를 예로 들 수 있다.
그렇다면 시스템적 사이버리스크(Systemic Cyber Risk)는 무엇인가?
시스템적 사이버리스크에 대한 정의는 굉장히 추상적이나, 세계경제포럼 (World Economic Forum, WEF)에서는 시스템적 사이버리스크를 아래와 같이 정의하고 있다.
Systemic cyber risk is defined as a risk that a cyber event (attack(s) or other adverse event(s)) at an individual component of a critical infrastructure ecosystem will cause significant delay, denial, breakdown, disruption or loss, such that services are impacted not only in the originating component but consequences also cascade into related (logically and/or geographically) ecosystem components, resulting in significant adverse effects to public heatlh or safety, economic security or national security. (Kaffenberger et al, 2019)
핵심은, critical한 infrastructure ecosystem의 어떤 요소에 대한 사이버 공격이 점점 커져 주변 시스템, 더 나아가 국가적으로 피해가 퍼져나가는 리스크를 시스템적 사이버리스크라고 한다. 따라서, 시스템적 사이버리스크가 발생하기 위해선 아래 두 가지의 요건이 충족이 되어야 한다.
- 복잡한 인프라에 대한 의존성 (dependence on complex infrastructure)
- 주요 정보시스템의 중단 (disruptions of critical information systems)
위의 요인들을 사이버 리스크의 시스템적 특성(systemic nature of cyber risk)이라고 한다.
시스템적 사이버 리스크의 주요 원인
시스템적 사이버 리스크의 주요 원인 세가지다.
(1) Risk concentration and lack of substitutability
- 리스크는 다수의 금융시장 인프라와 금융기관에 시스템적으로 집중되어 있음.
- 이때, 시스템적 위험으로 인한 장애의 발생은 금융 경제에 즉각적인 영향을 미치게 되므로, 대체가능성이 불가능하다.
(2) Loss of confidence and risk correlation
- 특정 사이버리스크로 인한 신뢰도가 하락하게 되면, 유동성 리스크, 마켓 리스크, 더 나아가 solvency 리스크까지 발생시킬 수 있음.
- 이때, 금융기관이 결제 또는 정산 의무를 이행하지 못하면 자금 유동성에 악영향을 미치게 되며, 유동성 부족으로 심각한 여러 위험사례들이 발생할 수 있음.
(3) Complex interconnectedness that amplifies contagion
- 디지털화가 되면서 금융 시스템 내 네트워크는 복잡성이 급격히 증가함.
- 이로 인해 시스템 내 어떤 한 부분에서의 충격은 간접적인 상호연결을 통해 금융 시스템 내 멀리 떨어진 다른 부분에 영향을 미침.
- 이러한 역학관계는 너무 복잡해서 발견이 안될 가능성이 높음.
시스템적 사이버리스크 분석
시스템적 사이버리스크는 네 단계로 분석할 수 있다.
(1) context : 사이버 사건이 발생하게 되는 상황 및 배경을 설명.
- 사이버 위협 : 사건의 특징, 동기, 원인
- 취약점 : 고유한 개별 취약성과 일반적인 개별 취약성을 구분
- 자산 : 금융 자산 + 비금융 자산, 사이버 리스크로 인해 어떤 자산이 위험에 처할 가능성이 있는가?
- 대응책 : 조직이 사이버리스크 완화를 구현할 수 있는 방법 소개
- 시작점 : 사이버 공격이 단일기관/여러 기관을 동시에 공격했는가? 공급망을 통해 발생했는가?
(2) shock : 사이버 사건이 처음 피해를 입힌 곳에서의 기술적/기업적 영향을 설명
(3) amplicifation : 피해를 입은 기관과, 그 기관이 속한 시스템 간의 상호작용. 그리고 이 시스템을 통해 충격이 어떻게 전파가 되는지를 설명함.
(4) systemic event : 시스템이 이 충격을 더 이상 흡수할 수 없을 때의 시점을 설명함.
출처
Kaffenberger, L., & Kopp, E. (2019). Cyber risk scenarios, the financial system, and systemic risk assessment. Carnegie Endowment for International Peace..
https://www.investopedia.com/terms/s/systemic-risk.asp
https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf