[이슈분석]미국 사이버 보험 시장은?

세계경제포럼(WEF)이 내놓은 2018 글로벌 위험관리 보고서에 따르면 사이버 공격과 데이터 사기가 올해 세계경제를 위협하는 3, 4위 요소로 떠올랐다. WEF가 제시한 5대 위협은 극단적 기상이변, 자연재해, 사이버공격, 데이터 사기 위협, 기후변화 대응 실패 순이다. 기술 위협이 두 개나 순위에 든 건 이례적이다.

선진국 사이버 보험 시장은 이에 맞춰 성장 중이다. 2017년 미국 사이버 보험 보험료 규모는 18억4200만달러다. 사이버 보험사도 2015년 119곳에서 2017년 170곳으로 늘었다. 미국 사이버 보험은 제3자 배상책임뿐만 아니라 e-비즈, 네트워크와 정보자산 등 계약 당사자 위험까지 담보한다.

데이터 유출 관련 관리와 복구비용, 위기관리 비용을 보상한다. 사이버 침해 사고로 인한 손해와 조사비용, 시스템 사용 불가시 소득 손실, 사업중단 비용, 데이터와 소프트웨어 복구와 재창조 비용도 포함된다. 개인정보 유출과 네트워크 보안 실패, 지적재산권 침해, 바이러스 감염 침해 등 제3자 리스크도 담보한다.

GettyImages
GettyImages

유진호 상명대학교 경영학부 교수는 “미국 사이버 보험은 침해사고가 발생한 기업의 대내외적 위험을 경감하는 수단으로 1999년 후반 시장이 형성됐다”면서 “2005년 이후 시장이 확대됐다”고 설명했다.

더 카운슬에 따르면 미국 기업 사이버 보험 가입률은 32%다. 가장 사이버 보험 가입률이 높은 곳은 의료기관(50%)이며 교육기관(32%), 호텔과 카지노 기업(26%), 서비스 기업(22%), 금융기관(21%), 유통기업(18%), 통신 미디어와 IT기업(12%), 제조기업(8%) 순이다.

미국은 개인정보 유출에 따른 손해배상금이나 방어 비용뿐만 아니라 기업 정보 유출에 따른 법률상 손해배상금, 정보보안 실패로 인한 정보 훼손 법률상 손해배상금까지 종합적으로 보상한다.

GettyImages
GettyImages

유 교수는 “사고 원인을 밝히는 조사와 법률자문, 신원 모니터링 비용 등 위기관리 비용까지 보장한다”면서 “사이버 보험의 보장범위와 보험료는 해당 산업, 서비스 형태, 데이터 위험 노출 수준, 네트워크 보안 수준, 개인정보보호 정책, 매출 등에 근거해 산출한다”고 설명했다.

미국에서 사이버 보험이 활성화된 계기는 사이버 위험과 관련한 법 규정 등장이다. 2009년 개인정보유출고지법이 시행됐다. 기업이나 당국이 개인정보를 수집 생성하는 단계부터 사용목적을 분명하게 밝히고 동의를 받아야 한다. 개인정보가 분실, 도난, 훼손되면 데이터 통제 책임자가 규제 당국과 개인에게 24시간 내에 정보를 통지해야 한다. 법 시행에 따라 기관은 개인정보 유출 위험을 줄이기 위해 보안 정책을 강화했다. 보험 가업과 같은 위험 전가 방법도 수행했다.

유 교수는 “미국은 2016년 9월 사이버 보험을 위한 세금 공제 법안 '데이터 브리치 인슈어런스 액트'를 발의했다”면서 “기업이 데이터 침해 보험에 가입하고 미국 국립표준기술연구소(NIST)에서 제시한 핵심 인프라 사이버 보안 개선 프레임워크나 장관이 지정한 유사한 기준을 채택해 준수하면 보험료의 15%에 해당하는 세금 공제 혜택을 준다”고 말했다.

그는 “국내 사이버 보험 활성화를 위해 수요 기업과 최고개인정보관리자(CPO) 입장에서 필요한 실질 혜택을 제공해야 한다”면서 “CPO 책임부담을 완화하고 사이버 사고 특례조항을 신설해야 한다”고 말했다. 이어 “보험사는 사고 데이터가 부족하다”면서 “사이버 사고 데이터 가공과 공유체계 구축이 필요하다”고 제언했다.

<표>미국 사이버 보험 시장 규모(자료:코리안리)

[이슈분석]미국 사이버 보험 시장은?


김인순 보안 전문기자 insoon@etnews.com