<p>디지털 위험 관리: 사이버 스트레스 테스트를 통한 증거</p><p> </p><p><a href="https://www.bis.org/publ/work1351.htm" target="_blank" class="ke-link">https://www.bis.org/publ/work1351.htm</a></p><div class="figure-open" contenteditable="false" data-ke-type="opengraph" data-ke-align="alignCenter" data-og-type="website" data-og-title="Disciplining digital risk: evidence from cyber stress tests" data-og-description="Investment in cybersecurity in an interconnected banking system has public-good properties: positive externalities can generate systemic underinvestment. Using confidential supervisory data from the European Central Bank, we first identify "laggard" Europe" data-og-host="www.bis.org" data-og-source-url="https://www.bis.org/publ/work1351.htm" data-og-url="https://www.bis.org/publ/work1351.htm" data-og-image="https://scrap.kakaocdn.net/dn/HsJiE/dJMb8WMwapa/sgUzKC7SIkA5XITyS9Mo1K/img.jpg?width=1200&height=627&face=0_0_1200_627"><a href="https://www.bis.org/publ/work1351.htm" target="_blank" data-source-url="https://www.bis.org/publ/work1351.htm"><div class="og-image"><img class="thumb_img" src="https://scrap.kakaocdn.net/dn/HsJiE/dJMb8WMwapa/sgUzKC7SIkA5XITyS9Mo1K/img.jpg?width=1200&height=627&face=0_0_1200_627" alt="" xxonerror="this.src="//img1.kakaocdn.net/thumb/C200x200/?fname=https%3A%2F%2Ft1.daumcdn.net%2Fcafe_image%2Fcafe_meta_image_190529.png""></div><div class="og-text"><p class="og-title">Disciplining digital risk: evidence from cyber stress tests</p><p class="og-desc">Investment in cybersecurity in an interconnected banking system has public-good properties: positive externalities can generate systemic underinvestment. Using confidential supervisory data from the European Central Bank, we first identify "laggard" Europe</p><p class="og-host">www.bis.org</p></div></a></div><div class="figure-file" data-ke-type="file" data-file-src="https://t1.daumcdn.net/cafeattach/1YXpP/f22ec54c7d44091793d462430efa639c21d738c5?download" data-file-name="work1351 (1).pdf" data-file-size="2450249" data-mimetype="application/pdf" data-ke-align="alignCenter"><a href="javascript:checkVirus('grpid%3D1YXpP%26fldid%3DqLvi%26dataid%3D36999%26fileid%3D1%26regdt%3D20260527165135&url=https%3A%2F%2Ft1.daumcdn.net%2Fcafeattach%2F1YXpP%2Ff22ec54c7d44091793d462430efa639c21d738c5')"><div class="image"></div><div class="desc"><div class="filename"><span class="name">work1351 (1)</span><span class="type">.pdf</span></div><div class="size">2.34MB</div></div></a></div><p> </p><p>요약집중하다</p><p style="text-align: start;">사이버 위험은 금융 안정에 중대한 위협으로 대두되었습니다. 은행들이 점점 더 디지털화되고 상호 연결됨에 따라, 사이버 공격은 네트워크 전반에 걸쳐 빠르게 확산되어 여러 금융기관에 동시에 피해를 줄 수 있습니다. 금융 네트워크에 대한 사이버 보안 투자는 공공재의 성격을 띠는데, 강화된 보안은 개별 은행에 이익을 줄 뿐만 아니라 더 넓은 금융 시스템의 회복력을 향상시키기 때문입니다. 결과적으로, 은행들은 시스템 전체적인 관점에서 바람직한 수준보다 사이버 보안에 대한 투자를 소홀히 할 가능성이 있습니다.</p><p>기부금</p><p style="text-align: start;">본 연구는 감독 당국의 감시가 사이버 보안에 대한 투자 부족을 완화할 수 있다는 새로운 증거를 제시합니다. 유럽중앙은행(ECB)이 2024년에 실시한 사이버 복원력 스트레스 테스트를 분석 대상으로 삼았습니다. 이 테스트는 은행의 사이버 공격 대응 및 복구 능력을 평가하기 위해 고안된 정성적 평가입니다. 사이버 복원력 스트레스 테스트는 자본에 직접적인 영향을 미치지 않고 은행별 결과가 공개되지 않는다는 점에서 본 분석에 특히 유용합니다. 이를 통해 감독 당국의 관심이 투자 부족에 대한 인식된 비용을 증가시키고 은행들이 사이버 복원력을 강화하도록 유도하는 '감독 채널'이라는 별도의 메커니즘을 연구할 수 있습니다. 2019년부터 2024년까지 유로존 대형 은행 109곳의 기밀 감독 데이터를 활용하여 사이버 보안 지출, 운영 위험 관리, 전문 인력 확보, 노후 IT 시스템 교체 현황을 추적했습니다. 먼저 ECB 스트레스 테스트 발표 이전에 사이버 위험 프로필과 재무 특성을 고려했을 때 예상보다 투자를 적게 한 '후발 은행'을 식별했습니다. 우리는 차분 분석법과 사건 연구법을 사용하여 발표 이후 투자가 어떻게 변화했는지 분석합니다.</p><p>연구 결과</p><p style="text-align: start;">본 연구는 네 가지 주요 결과를 도출했습니다. 첫째, 스트레스 테스트 발표 이후 은행 부문 전반의 사이버 보안 투자가 약 45% 증가했습니다. 둘째, 이러한 대응은 사이버 보안 대응이 미흡했던 은행들에 집중되었습니다. 이들 은행은 다른 은행들에 비해 사이버 보안 투자를 약 80% 늘렸습니다. 또한 외부 아웃소싱 의존도를 줄이고, 사이버 보안 전문 인력을 안정화하며, 사이버 보험 보장 범위를 조정했습니다. 셋째, 미흡했던 은행들의 이러한 강력한 대응은 사이버 사고나 손실보다는 감독 당국의 감시 강화에 기인했습니다. 넷째, 심층적인 검토와 감독 결과 지적 등 더욱 강도 높은 감독을 받는 미흡했던 은행들에서 투자 반응이 가장 두드러졌습니다. 반면, 감독 당국의 감시가 덜한 은행들은 거의 변화를 보이지 않았습니다. 이는 감독 당국의 감시만으로도 직접적인 재정적 제재 없이 사이버 보안 역량을 강화할 수 있음을 시사합니다.</p><hr data-ke-style="style1"><p>추상적인</p><p style="text-align: start;">상호 연결된 은행 시스템에서 사이버 보안에 대한 투자는 공공재적 성격을 지니지만, 긍정적인 외부 효과는 시스템적인 투자 부족을 초래할 수 있습니다. 본 연구에서는 유럽중앙은행(ECB)의 기밀 감독 데이터를 활용하여, 사이버 위험 프로필 대비 투자가 부족한 "후발" 유럽 은행들을 식별하고, 감독 당국의 감시가 투자 유인에 미치는 영향을 분석합니다. 이를 위해 2024년 ECB 사이버 복원력 스트레스 테스트(CyRST)를 준자연실험으로 활용했습니다. 차분 분석(difference-in-differences) 설계를 통해 CyRST 발표 이후 후발 은행들이 동종 은행 대비 사이버 보안 투자를 약 80% 증가시킨 것을 확인했습니다. 특히 고강도 감독을 받는 후발 은행일수록 투자 증가폭이 더 컸는데, 이는 감독 당국의 감시가 규율 효과를 발휘함을 시사합니다. 종합적으로, 본 연구 결과는 표적화된 감독이 투자 부족 유인을 완화하고 은행의 운영 위험 관리를 강화하는 데 도움이 될 수 있음을 보여줍니다.</p><p style="text-align: start;">JEL 분류: G21, G28, G32, L86, K23</p><p style="text-align: start;">키워드: 사이버 위험, 은행 감독, 스트레스 테스트, IT 투자</p>
<!-- -->
