개인정보 유출 1인당 평균 배상 겨우 10만 원… 사이버보험 시장 미성숙

올해 들어 쿠팡과 SK텔레콤 등 주요 통신사를 비롯한 대기업에서 수천만 건의 개인정보가 유출되며 사이버 리스크가 사회 전반으로 확산됐다. 하지만 기업이 유출 사고를 내도 실제로 감당해야 배상액이 1인당 평균 10만 원에 그쳐, 보험에 가입할 유인이 거의 없는 구조다. 이 때문에 정작 피해를 보상해야 할 사이버보험 시장은 여전히 제 기능을 하지 못하고 있다는 지적이다.

7일 보험연구원과 보험업계 등 분석에 따르면 우리나라의 경우 개인정보보호법상 과징금 상한이 매출의 3%로 상향됐음에도 피해자에 대한 실질적 배상책임은 여전히 극히 낮은 수준에 머물고 있다.

2014년 카드3사와 2016년 인터파크 사건 등 대규모 유출 사례의 최종 판결액은 피해자 1인당 평균 10만 원에 불과했다. 기업 입장에서는 사고가 발생하더라도 감당할 수 있는 수준의 금액이어서, 보험에 가입할 경제적 유인이 사라진 것이다.

연구원 측은 보험 가입 유인이 ‘파산 리스크 회피’에서 비롯된다고 지적한다. 미국의 경우 징벌적 손해배상제(Punitive Damages)가 법제화돼 있어 개인정보 유출 한 건으로도 수천억 원대의 배상 판결이 내려질 수 있다.
2017년 미국 신용평가사 이퀴팩스(Equifax) 사건에서는 약 7억 달러, 한화로 9000억 원에 달하는 배상금이 확정되며 기업이 실질적인 파산 위기에 몰렸다. 거액의 손실이 현실화되는 환경에서는 기업들이 리스크 회피를 위해 사이버보험에 가입할 수밖에 없다는 설명이다.

특히 막대한 과징금이 전무한 우리나라는 사고가 나더라도 ‘몸으로 떼우는 게 더 싸다’는 인식이 굳어져 있다. 연구원 측은 이런 문제를 단순한 IT 사고가 아니라 분석한다. 한 기업의 보안 실패가 이제는 금융과 사회 전반으로 번지는 ‘연쇄적 사이버 위험’, 즉 시스템 전체를 흔드는 사이버 리스크로 바뀌고 있다는 것이다.

이런 구조적 위험에도 불구하고 국내 사이버보험 시장은 여전히 미성숙하다. 기업의 정보보안 투자와 리스크 관리 의식이 낮고, 민사상 배상책임이 미미한 데다 보험사 자체의 사이버 리스크 인수(언더라이팅) 역량도 부족해 공급 측면에서도 시장 형성이 지체되고 있다.

전문가들은 사이버보험이 단순한 보상 상품이 아니라 ‘종합적 리스크 관리 서비스’로 진화해야 한다고 제언한다. 보험사는 사고 이후의 보상에 머물지 않고 사고 전 단계의 리스크 컨설팅, 사이버 손해사정 인력 확충, 보안기업과의 컨소시엄 구축 등 전주기 관리 체계를 갖춰야 한다는 것이다.

정부 역시 과징금 인상만으로는 시장이 성장하지 않는 현실을 직시하고, 징벌적 배상제 도입과 공공재보험(Public Reinsurance) 제도 구축 등 민관 협력 기반의 사이버 리스크 대응 체계를 마련해야 한다는 지적이다. 이미 미국의 경우 테러위험보험 프로그램(TRIP), 영국은 Pool Re를 통해 국가 재보험 형태의 사이버보상 체계를 운영하고 있다.
보험연구원은 보고서를 통해 “사이버보험은 단순한 배상 수단이 아니라 국가 디지털 리스크 관리의 핵심 인프라로 봐야 한다”며 “정부·기업·보험사가 함께 움직이지 않는다면, 다음 대형 사고 때도 결국 몸으로 떼우는 구조가 반복될 것”이라고 경고했다.


홍석경 글로벌이코노믹 기자 hong@g-enews.com