올해 잇따른 대규모 해킹 및 개인정보 유출사고가 발생하면서 사이버보험 개선 필요성이 제기되고 있다. 우리나라는 의무보험 위주로 시장이 운영돼 사고 후 피해보상에 보장이 집중돼 있는 데다가 이마저도 허술하다는 우려다.
한국인터넷진흥원(KISA)에 따르면 올해 상반기 사이버 침해사고 신고 건수가 1034건으로 전년 동기 대비 15% 증가했다. 신고 건수는 지난 2021년부터 지속 상승해 반년만에 2021년 한해 신고된 640건을 크게 웃돌고 있는 상태다.
사이버 위협은 고객 개인정보 유출로 인한 피해는 물론 배상책임, 이익감소, 법률비용, 데이터 복구 비용 등 기업 생존이 달린 2차 피해로까지 이어질 수 있다. 사전 보안강화와 사후 복원 중요성이 대두되는 상황이다.
해외 주요국에선 사이버 공격에 대한 보험 연구·개발이 진행되고 있지만 우리나라는 미비한 상태다. 사고 발생 후에야 보험금을 지급하는 배상책임보험(의무보험) 위주로 시장이 운영돼 기업이 겪는 다양한 피해에 대해 보장이 부족할뿐더러, 국제적인 수준에서 사이버 보험 경쟁력이 낮다.
보험개발원은 CEO리포트를 통해 미국에서는 사이버 리스크 평가·관리,교육 등 보안 컨설팅 서비스를 보험과 함께 제공하고 있지만 국내는 비활성화된 상태라고 진단했다. 현재 배상책임보험 중심 구조에서 벗어나 종합보험과 사이버보안 컨설팅으로 서비스를 개선해야 한다는 평가다.
금융보안원에 집적되고 있는 사이버 사고 데이터를 보험사가 상품 개발·연구에 반영할 수 있도록 활용도를 높여야 한다는 지적도 제기됐다. 미국에선 보험사가 FS-IAC(금융서비스 부문 정보 공유 및 분석 센터)로부터 사이버 사고 데이터를 수집해 리스크 정량화 및 평가 모델 구축에 활용할 수 있도록 지원하고 있지만, 우리나라는 보험사가 금융보안원 데이터를 활용하는데 제약이 있다는 설명이다.
특히 최근에는 3370만명에 달하는 대규모 개인정보 유출사고가 발생한 쿠팡이 개인정보 배상책임보험을 법에서 정한 최소 수준(10억원)으로만 가입해 둔 것으로 나타났다.
국내 대다수 기업이 의무보험에 최저한도로 가입하거나 적립금을 쌓아두는 것으로 대체하고 있는 실정이다. 향후 개인정보 유출로 인한 손해배상책임이 발생하더라도 보험을 통해 구제받을 수 있는 금액은 10억원에 그친다는 의미다.
보험업계도 국내 사이버보험에 개선이 시급하다고 보고 있다. 보험업계 관계자는 “사이버 위협은 대규모 피해는 물론 기업 평판·법률리스크까지 동반하는 것이 특징”이라며 “관련된 보험 활성화를 위해 정책적 인센티브와 보장범위 확대 등 유용성을 제고하기 위한 노력이 필요하다”고 말했다.
한편 개인정보보호 배상책임보험은 의무보험임에도 최저가입금액(최소적립금액)이 낮아 실질적인 보상에 한계가 있다는 지적이 지속 제기되고 있다. 예컨대 정보 주체 수가 100만명 이상이고 매출이 800억원을 초과하는 기업도 보험 최소 가입한도가 10억원에 불과하다.
박진혁 기자 spark@etnews.com
