잇단 사이버 공격으로 개인정보 털리는데..제자리걸음인 국내 사이버 보험

[한국정경신문=차유민 기자] 최근 이커머스·이동통신사·대형 플랫폼 등을 겨냥한 해킹이 잇따르며 대규모 개인정보 유출 사고가 반복되고 있다. 하지만 이에 대비해야 할 '사이버 보험' 시장은 여전히 활성화되지 못하고 있다. 제도적 허점과 위험평가 인프라 부재로 기업들의 보험 가입 기피가 심화하고 있다는 지적이다.

8일 한국인터넷진흥원(KISA)에 따르면 사이버 침해사고는 2023년 1277건에서 지난해 1887건으로 48% 증가했다. 미신고 사례까지 고려하면 실제 피해 건수는 더 많을 것으로 분석된다. 전문가들은 사이버 보험 가입률 높이려면 제도적 허점이 보완돼야 한다는 점을 '사후약방문'이 반복되지 않을 것으로 보고 있다.

올해만 해도 SK텔레콤, 예스24, SGI서울보증, 롯데카드, KT 등이 연이어 공격받았고 최근에는 쿠팡에서 약 3000만 건의 개인정보가 유출됐다.

하지만 기업들의 사이버 보험 가입률은 여전히 낮다. 특히 대기업은 사고가 발생한 뒤에야 보험 가입을 검토하는 사후 대응이 반복된다. 쿠팡 역시 개인정보 유출 위험을 내부적으로 인지하고 있었음에도 법에서 정한 최소 수준으로만 보험에 가입한 것으로 드러났다.

보험연구원이 최근 발간한 보고서는 사이버 보험이 활성화되지 못하는 가장 큰 이유로 '기형적 책임 구조'를 꼽았다. 한국은 개인정보보호법 개정으로 과징금 상한이 매출액의 3%로 크게 높아졌다. 하지만 피해 소비자에 대한 손해배상액은 여전히 낮아 2014년 카드 3사 유출 사태·2016년 인터파크 사건에서 최종 인정된 배상액은 1인당 약 10만원이었다.

또 방송통신위원회는 2019년부터 일정 규모 이상의 ICT 기업에 개인정보보호 배상책임보험 또는 준비금 적립을 의무화했지만 '보험 또는 준비금' 중 선택하도록 한 점이 제도적 허점으로 지적된다. 보험료는 비용으로 처리되지만 준비금은 사고가 없을 때 다시 기업 자산이 되기 때문에 많은 기업이 준비금 적립을 선호한다.

전문가들은 사이버 보험 미가입에 대해 기업과 보험사의 목표 불일치를 문제로 지적한다. 보험사는 사고 방지와 보상 제한에 초점을 둔다. 반면 기업은 리스크 최소화에 집중해 효과적인 협업이 이뤄지지 않는다. 특히 많은 기업이 자산·보안 통제 현황을 제대로 파악하지 못해 보험사에 신뢰성 있는 데이터를 제공하지 못하는 실정이다.

보험업계에서는 민간 보험사가 감당하기 어려운 국가 차원의 사이버 테러나 대규모 리스크에 대응하기 위해 미국의 테러위험보험프로그램(TRIP)이나 영국의 공적 재보험기구 풀리(Pool Re)처럼 공사 협력 모델 도입도 검토해야 한다고 제안한다.

보험업계 관계자는 "사이버 공격은 진화 속도가 빨라 기존 통계만으로는 위험을 정확히 판단하기 어렵다"며 "정부와 보험사, 보안업체가 정보를 공유하고 중소기업 지원을 강화해야 한다"고 말했다.