개인정보 손해배상책임 보장제도 가입 확대 위해서는 미가입 기업 대상 제재 필요
보험연구원 송윤아 연구위원 “기업의 보험 및 공제 가입 또는 준비금 적립 실태 정확히 파악해야”
[보안뉴스 김영명 기자] 코로나19 팬데믹은 그동안 막연하게만 느껴졌던 ‘디지털 트랜스포메이션(Digital Transformation, DX)’이란 구호 아래 꾸준히 진행되고 있던 주요 기업들의 체질 개선 속도를 더욱 빠르게 끌어올리는 도화선이 됐다. DX로 대표되는 기술은 이제는 익히 들어봤을 법한 사물 인터넷(Internet of Things, IoT), 인공지능(Artificial Intelligence, AI), 클라우드 컴퓨팅(Cloud Computing), 빅데이터(Big Data) 등이 있다.
[이미지=utoimage]
하지만 디지털 전환의 가속화는 사이버 위협을 수면 위로 떠오르게 하는 계기로도 작용했다. 한국인터넷진흥원 조사에 따르면 최근 4년간 연도별 국내 사이버 침해사고 건수는 2019년 418건, 2020년 603건, 2021년 640건, 2022년 1,045건(11월 기준)으로, 지난해 급격하게 증가한 것을 알 수 있다.
이보다 앞선 2019년 6월, 개인정보보호위원회(이하 개인정보위)는 예상치 못한 개인정보 유출에 따른 이용자의 피해 구제와 기업의 손해배상 부담 완화를 위해 일정 기준 이상의 정보통신서비스 제공자 등이 의무로 보험·공제에 가입하거나 준비금을 적립하게 하는 ‘개인정보 손해배상책임 보장제도’를 시행했다. 이어 2021년 6월에는 △가입 대상의 오프라인 사업자 확대와 가입기준 상향 및 면제 대상 명확성 부여 △업종·기능별 단체보험 가입과 관련 제도 홍보 강화 통한 제도 활성화 △보험 미가입 기업은 시정명령 후 이를 따르지 않을 경우 과태료 부과로 보험 가입 유도 등을 골자로 한 개선안을 발표했다.
개인정보 손해배상책임 보장제도는 △전년도 매출액 5,000만원 이상 △개인정보 저장·관리 이용자 수 1,000명 이상 등에 해당하는 기업은 가입을 의무화했다. 하지만 현실은 이에 턱없이 못 미치고 있다. 개인정보위는 낮은 가입률의 원인으로 ①인지도 ②보험 가입 유인 부족 ③과잉 규제 논란 등을 꼽았다. 이는 국내 10대 보험사 중 5개 회사만 관련 상품을 취급하고 있고, 보장의 폭이 좁았으며, 단독 보험이 아닌 종합보험 또는 건강보험(암보험) 내 특약에 그치고 있다는 점에서도 알 수 있었다.
이에 <보안뉴스>는 사이버보안 관련 보험 시장이 활성화되지 못하는 근본적인 원인을 분석해 보고자 했다. 이러한 가운데 ‘디지털 경제 활성화를 위한 사이버보험 역할제고 방안’(2018.11.)과 ‘사이버 공격 증가와 국내외 사이버보험 시장 동향’(2022.7.) 등 두 개의 보고서를 발행한 보험연구원(KIRI)의 송윤아 보험산업연구실 연구위원과의 인터뷰를 통해 이에 대한 실마리를 얻을 수 있었다.
▲최근 4년간 연도별 사이버 침해사고 건수[자료=과기정통부]
Q. 사이버공격의 증가와 함께 개인정보보호위원회는 일정 규모 이상의 기업에 대해 ‘개인정보 손해배상책임 보장제도’ 가입을 의무화했지만 가입률은 저조합니다. 근본적인 원인은 무엇이라고 보시나요?
개인정보 보호법(법률 제16930호)에서는 손해배상책임의 이행을 위해 필요한 조치를 취할 것을 의무화할 뿐, 그 방법을 보험 또는 공제로 제한하지 않고 있습니다. 개인정보 보호법 제39조의7(손해배상의 보장)의 내용을 보면 제1항은 ‘개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다’고 쓰여 있습니다.
또한, 같은 법 제39조의9(손해배상의 보장) 제1항은 ‘정보통신서비스 제공자등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다’고 못박았습니다.
즉, 명시된 규모에 속하는 사업자는 보험이나 공제 가입 또는 준비금 적립이라는 두 가지의 선택지 중 하나를 택할 수 있습니다. 보험 가입률이 저조한 것은 해당 사업자들이 보험에 가입하는 대신 준비금을 적립하는 것을 선택했기 때문입니다. 물론, 실제로 해당 기업들이 법령에서 정한 금액을 개인정보 보호법 위반에 따른 손해배상책임을 이행하기 위한 목적으로 준비금으로 적립하고 있는지를 확인하기는 어렵습니다.
사업자 입장에서 봤을 때 ‘보험’과 ‘준비금’의 차이점이 있다면, 보험은 보험료를 납입하더라도 만기까지 보험사고가 발생하지 않으면 기납입 보험료를 되돌려받을 수 없고 그대로 소멸된다는 생각에 두 가지 선택권 중 하나를 택한다면 준비금을 선택할 수 있습니다. 더욱이, 개인정보 보호법 위반에 따른 손해배상책임의 보험사고가 발생할 가능성은 낮고, 보험료는 높으며, 준비금 적립에 대한 당국의 모니터링이 엄격하지 않다면 보험 가입보다는 준비금 적립을 선택할 개연성이 높기 때문입니다.
Q. 사이버공격에 따른 피해 규모가 늘어나면서 해외 손해보험사들은 보험률 지급으로 인한 재정 악화를 방지하기 위해 재보험사 가입 또는 보험연계증권을 활용 중입니다. 우리는 어떻게 대응해야 하나요?
기업보험에서 보험사의 재보험 가입은 이례적인 위험관리법이 아닙니다. 다만, 보험사의 입장에서 사이버보안 위험은 발생 유형, 빈도, 심도 등을 예측하기 어렵고, 한 번 터지게 되면 초대형 손실 발생의 가능성이 있기 때문에 보다 보수적으로 접근하는 경향이 있습니다. 해외, 특히 미국의 경우 잦은 사이버사고로 인해 사이버위험에 대한 정부와 기업의 경각심이 높아 사이버보험에 대한 기업의 의존도가 상대적으로 높고 보험회사 및 재보험사가 관련 위험에 상당부분 노출돼 있습니다. 따라서 미국은 사이버사고로 인한 거대손실에 대해서는 정부가 위험을 일부 분담하는 공사협력체계를 구축해 보험사가 기업의 사이버위험을 적극적으로 인수하도록 하고 있습니다.
다만, 우리나라의 경우에는 개인정보 보호법 위반에 따른 손해배상책임 이행을 위한 조치가 법적으로 요구됨에도 불구하고 보험가입률이 낮습니다. 즉, 보험사가 사이버위협에 노출된 정도가 우려할 수준이 아닐 수 있습니다. 물론, 국내 기업들이 미국처럼 사이버사고로 인한 배상책임 뿐만 아니라 사이버사고로 인한 재물피해, 인적피해, 영업중단 피해까지 모두 보험으로 관리할 정도로 사이버보험 시장이 커진다면, 우리나라 보험회사도 통상적인 재보험 거래로써 위험을 헤지(hedge, 위험을 관리하는 다양한 방법과 수단)하기는 어려울 수 있습니다. 다시 말해 지금은 한국시장에서 보험회사가 사이버보험의 위험관리를 위해 보험연계증권 발행이나 정부의 담보 제공을 요청할 상황은 아니라고 판단됩니다.
▲손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준[자료=개인정보위]
Q. 사이버보안 시장은 꾸준히 확대되지만, 사이버보안 관련 보험시장은 아직 미미합니다. 사이버보안 관련 보험 시장의 확대 및 정착을 위해 정부나 보험사는 어떤 노력이 필요한가요?
개인정보위에서 마련한 배상책임보험은 사이버보험에서 가장 기본이 되는 담보인데, 그마저도 가입률이 저조합니다. 이는 기업의 사이버위험에 대한 인식이 그만큼 낮다는 것을 의미합니다. 조금 더 구체적으로 설명한다면, 우리 기업은 ①사이버사고의 발생 가능성이 낮거나 ②사이버사고가 발생하더라도 손실이 크지 않거나 ③사이버사고가 발생하더라도 그에 대한 법적 책임이 크지 않다는 등 3가지 기본적인 고정관념을 갖고 있는 데서 기인합니다.
특히, 사이버사고의 경우 사고가 발생하더라도 기업이 공개를 꺼리고, 개인정보 침해의 경우 다수의 피해자들이 피해사실을 인지하지 못하는 경우가 많아 사이버사고, 특히 ‘개인정보 침해’는 이를 발생시킨 기업에 직접적인 책임을 묻거나 직접적인 손실로 이어지지는 않는 것 같습니다.
현재로서는 국내 사이버보안 보험 시장의 비활성화는 공급보다는 수요에 기인한 것 같습니다. 비활성화의 원인이 보험사의 인수거절, 과도한 보험료 등에 있다고 하면 보험사 입장에서 방안을 모색해볼 수 있겠으나, 보험사 입장에서 수요 진작을 위해 취할 수 있는 특별한 조치가 있다고 보기 어렵습니다.
사이버보안 사고는 끊임없이 발생하고 있고, 관련해 사이버보안 시장이 확대되고 있습니다. 이러한 시장의 흐름에 따라 적어도 개인정보 침해에 대한 배상과 관련해 정부는 대상 기업의 보험 및 공제 가입 또는 준비금 적립 실태를 정확하고 철저하게 모니터링할 필요가 있습니다. 대상 기업의 보험가입률이 낮다는 것은 준비금을 적립한다는 것인데, 준비금 적립에 대한 명확한 실태 파악이 필요합니다.
[김영명 기자(boan@boannews.com)]
보험연구원 송윤아 연구위원 “기업의 보험 및 공제 가입 또는 준비금 적립 실태 정확히 파악해야”
[보안뉴스 김영명 기자] 코로나19 팬데믹은 그동안 막연하게만 느껴졌던 ‘디지털 트랜스포메이션(Digital Transformation, DX)’이란 구호 아래 꾸준히 진행되고 있던 주요 기업들의 체질 개선 속도를 더욱 빠르게 끌어올리는 도화선이 됐다. DX로 대표되는 기술은 이제는 익히 들어봤을 법한 사물 인터넷(Internet of Things, IoT), 인공지능(Artificial Intelligence, AI), 클라우드 컴퓨팅(Cloud Computing), 빅데이터(Big Data) 등이 있다.
[이미지=utoimage]
하지만 디지털 전환의 가속화는 사이버 위협을 수면 위로 떠오르게 하는 계기로도 작용했다. 한국인터넷진흥원 조사에 따르면 최근 4년간 연도별 국내 사이버 침해사고 건수는 2019년 418건, 2020년 603건, 2021년 640건, 2022년 1,045건(11월 기준)으로, 지난해 급격하게 증가한 것을 알 수 있다.
이보다 앞선 2019년 6월, 개인정보보호위원회(이하 개인정보위)는 예상치 못한 개인정보 유출에 따른 이용자의 피해 구제와 기업의 손해배상 부담 완화를 위해 일정 기준 이상의 정보통신서비스 제공자 등이 의무로 보험·공제에 가입하거나 준비금을 적립하게 하는 ‘개인정보 손해배상책임 보장제도’를 시행했다. 이어 2021년 6월에는 △가입 대상의 오프라인 사업자 확대와 가입기준 상향 및 면제 대상 명확성 부여 △업종·기능별 단체보험 가입과 관련 제도 홍보 강화 통한 제도 활성화 △보험 미가입 기업은 시정명령 후 이를 따르지 않을 경우 과태료 부과로 보험 가입 유도 등을 골자로 한 개선안을 발표했다.
개인정보 손해배상책임 보장제도는 △전년도 매출액 5,000만원 이상 △개인정보 저장·관리 이용자 수 1,000명 이상 등에 해당하는 기업은 가입을 의무화했다. 하지만 현실은 이에 턱없이 못 미치고 있다. 개인정보위는 낮은 가입률의 원인으로 ①인지도 ②보험 가입 유인 부족 ③과잉 규제 논란 등을 꼽았다. 이는 국내 10대 보험사 중 5개 회사만 관련 상품을 취급하고 있고, 보장의 폭이 좁았으며, 단독 보험이 아닌 종합보험 또는 건강보험(암보험) 내 특약에 그치고 있다는 점에서도 알 수 있었다.
이에 <보안뉴스>는 사이버보안 관련 보험 시장이 활성화되지 못하는 근본적인 원인을 분석해 보고자 했다. 이러한 가운데 ‘디지털 경제 활성화를 위한 사이버보험 역할제고 방안’(2018.11.)과 ‘사이버 공격 증가와 국내외 사이버보험 시장 동향’(2022.7.) 등 두 개의 보고서를 발행한 보험연구원(KIRI)의 송윤아 보험산업연구실 연구위원과의 인터뷰를 통해 이에 대한 실마리를 얻을 수 있었다.
▲최근 4년간 연도별 사이버 침해사고 건수[자료=과기정통부]
Q. 사이버공격의 증가와 함께 개인정보보호위원회는 일정 규모 이상의 기업에 대해 ‘개인정보 손해배상책임 보장제도’ 가입을 의무화했지만 가입률은 저조합니다. 근본적인 원인은 무엇이라고 보시나요?
개인정보 보호법(법률 제16930호)에서는 손해배상책임의 이행을 위해 필요한 조치를 취할 것을 의무화할 뿐, 그 방법을 보험 또는 공제로 제한하지 않고 있습니다. 개인정보 보호법 제39조의7(손해배상의 보장)의 내용을 보면 제1항은 ‘개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다’고 쓰여 있습니다.
또한, 같은 법 제39조의9(손해배상의 보장) 제1항은 ‘정보통신서비스 제공자등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다’고 못박았습니다.
즉, 명시된 규모에 속하는 사업자는 보험이나 공제 가입 또는 준비금 적립이라는 두 가지의 선택지 중 하나를 택할 수 있습니다. 보험 가입률이 저조한 것은 해당 사업자들이 보험에 가입하는 대신 준비금을 적립하는 것을 선택했기 때문입니다. 물론, 실제로 해당 기업들이 법령에서 정한 금액을 개인정보 보호법 위반에 따른 손해배상책임을 이행하기 위한 목적으로 준비금으로 적립하고 있는지를 확인하기는 어렵습니다.
사업자 입장에서 봤을 때 ‘보험’과 ‘준비금’의 차이점이 있다면, 보험은 보험료를 납입하더라도 만기까지 보험사고가 발생하지 않으면 기납입 보험료를 되돌려받을 수 없고 그대로 소멸된다는 생각에 두 가지 선택권 중 하나를 택한다면 준비금을 선택할 수 있습니다. 더욱이, 개인정보 보호법 위반에 따른 손해배상책임의 보험사고가 발생할 가능성은 낮고, 보험료는 높으며, 준비금 적립에 대한 당국의 모니터링이 엄격하지 않다면 보험 가입보다는 준비금 적립을 선택할 개연성이 높기 때문입니다.
Q. 사이버공격에 따른 피해 규모가 늘어나면서 해외 손해보험사들은 보험률 지급으로 인한 재정 악화를 방지하기 위해 재보험사 가입 또는 보험연계증권을 활용 중입니다. 우리는 어떻게 대응해야 하나요?
기업보험에서 보험사의 재보험 가입은 이례적인 위험관리법이 아닙니다. 다만, 보험사의 입장에서 사이버보안 위험은 발생 유형, 빈도, 심도 등을 예측하기 어렵고, 한 번 터지게 되면 초대형 손실 발생의 가능성이 있기 때문에 보다 보수적으로 접근하는 경향이 있습니다. 해외, 특히 미국의 경우 잦은 사이버사고로 인해 사이버위험에 대한 정부와 기업의 경각심이 높아 사이버보험에 대한 기업의 의존도가 상대적으로 높고 보험회사 및 재보험사가 관련 위험에 상당부분 노출돼 있습니다. 따라서 미국은 사이버사고로 인한 거대손실에 대해서는 정부가 위험을 일부 분담하는 공사협력체계를 구축해 보험사가 기업의 사이버위험을 적극적으로 인수하도록 하고 있습니다.
다만, 우리나라의 경우에는 개인정보 보호법 위반에 따른 손해배상책임 이행을 위한 조치가 법적으로 요구됨에도 불구하고 보험가입률이 낮습니다. 즉, 보험사가 사이버위협에 노출된 정도가 우려할 수준이 아닐 수 있습니다. 물론, 국내 기업들이 미국처럼 사이버사고로 인한 배상책임 뿐만 아니라 사이버사고로 인한 재물피해, 인적피해, 영업중단 피해까지 모두 보험으로 관리할 정도로 사이버보험 시장이 커진다면, 우리나라 보험회사도 통상적인 재보험 거래로써 위험을 헤지(hedge, 위험을 관리하는 다양한 방법과 수단)하기는 어려울 수 있습니다. 다시 말해 지금은 한국시장에서 보험회사가 사이버보험의 위험관리를 위해 보험연계증권 발행이나 정부의 담보 제공을 요청할 상황은 아니라고 판단됩니다.
▲손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준[자료=개인정보위]
Q. 사이버보안 시장은 꾸준히 확대되지만, 사이버보안 관련 보험시장은 아직 미미합니다. 사이버보안 관련 보험 시장의 확대 및 정착을 위해 정부나 보험사는 어떤 노력이 필요한가요?
개인정보위에서 마련한 배상책임보험은 사이버보험에서 가장 기본이 되는 담보인데, 그마저도 가입률이 저조합니다. 이는 기업의 사이버위험에 대한 인식이 그만큼 낮다는 것을 의미합니다. 조금 더 구체적으로 설명한다면, 우리 기업은 ①사이버사고의 발생 가능성이 낮거나 ②사이버사고가 발생하더라도 손실이 크지 않거나 ③사이버사고가 발생하더라도 그에 대한 법적 책임이 크지 않다는 등 3가지 기본적인 고정관념을 갖고 있는 데서 기인합니다.
특히, 사이버사고의 경우 사고가 발생하더라도 기업이 공개를 꺼리고, 개인정보 침해의 경우 다수의 피해자들이 피해사실을 인지하지 못하는 경우가 많아 사이버사고, 특히 ‘개인정보 침해’는 이를 발생시킨 기업에 직접적인 책임을 묻거나 직접적인 손실로 이어지지는 않는 것 같습니다.
현재로서는 국내 사이버보안 보험 시장의 비활성화는 공급보다는 수요에 기인한 것 같습니다. 비활성화의 원인이 보험사의 인수거절, 과도한 보험료 등에 있다고 하면 보험사 입장에서 방안을 모색해볼 수 있겠으나, 보험사 입장에서 수요 진작을 위해 취할 수 있는 특별한 조치가 있다고 보기 어렵습니다.
사이버보안 사고는 끊임없이 발생하고 있고, 관련해 사이버보안 시장이 확대되고 있습니다. 이러한 시장의 흐름에 따라 적어도 개인정보 침해에 대한 배상과 관련해 정부는 대상 기업의 보험 및 공제 가입 또는 준비금 적립 실태를 정확하고 철저하게 모니터링할 필요가 있습니다. 대상 기업의 보험가입률이 낮다는 것은 준비금을 적립한다는 것인데, 준비금 적립에 대한 명확한 실태 파악이 필요합니다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
