징벌적·법정손해배상제 도입한 개보법 국회 통과로 보험 수요 기대 미국, 일본, EU 등 해외의 개인정보 유출 관련 보험시장 동향은? 
[보안뉴스 김태형] 최근 지속적으로 발생하고 있는 대규모 개인정보 유출사고로 금융회사를 포함한 대기업, 보험사 등에서는 정보보호 및 개인정보 보호 강화를 위한 노력이 요구되고 있다. 더욱이 7일 징벌적·법정손해배상제를 도입한 개인정보보호법 개정안이 국회 본회의를 통과하면서 개인정보 유출 및 해킹사고에 대비해 피해보상 재원을 확보하기 위한 보험 수요도 크게 증가할 것으로 예상된다.





보험개발원에 따르면 개인정보 유출 배상책임보험의 국내 잠재시장 규모는 4,400억원에서 최대 3조 6천억원 수준으로 내다봤다. 우리나라보다 개인정보보호 관련 법이 먼저 제정되어 시행중인 미국이나 일본, 유럽에서는 관련 보험시장도 훨씬 크고 상품도 잘 발달되어 있다. 이에 보험개발원에서 발표한 해외의 개인정보 유출 관련 보험시장 동향에 대해 정리했다.  

일본 대기업·중소기업 대상의 단체 보험 판매
일본은 개인정보보호와 관련, 민관을 통합한 ‘개인정보보호에 관한 법률’을 2005년 4월부터 시행되고 있으며, 각 자치단체별로 개인정보보호조례가 시행되고 있다. 이 법은 피해자 구제를 위한 손해배상책임 등의 명시적 조항은 없으나 기본방침에서 개인정보보호 조치에 관한 기본사항을 규정하고 있다.

또한 ‘개인정보보호에 관한 기본방침’을 정하고 22개 분야에 대한 35개의 개인정보보호 가이드라인을 운영하고 민간영역에서는 프라이버시마크 제도, JIS Q 15001(개인정보보호관리시스템- 요구사항 : Personal Information Protection Management System-requirement) 등이 자율적으로 운용된다.

개인정보 유출에 대비한 보험은 대형 IT 업체를 대상으로 한 상품과 중소기업을 대상으로 한 단체보험이 판매되고 있다. 단체보험은 개인정보유출보험이란 명칭으로 일본상공회의소 및 지방상공회의소의 회원을 대상으로 판매되고 있다.

이 상품은 단체할인보험료를 적용하며 개인정보호법에 대응한 리스크 진단 서비스를 무료로 제공해 중소기업의 개인정보유출 리스크를 줄이는데 기여하고 있다.

특히, 개인정보유출보험은 배상책임 부분과 비용손해 부분으로 구성되며 피보험자에게 보험기간 중 일본 국내에서 손해배상청구가 이루어진 경우에만 보상한다. 그리고 신용카드번호, 계좌번호 또는 비밀번호 등의 유출로 인한 손해는 ‘신용카드번호 등 유출위험담보특약’을 부대 한 경우에만 보상한다.

미국 2011년 기준 보험료 규모 연간 8억 달러
미국은 포괄적인 개인정보보호법제 대신 다양한 개별법과 자율규제를 중심으로 법적 대응이 이루어진다. 공공부문은 ‘프라이버시법(Privacy Act, 1974)’이 대표적이며 민간부문은 ‘공정신용조사법(Fair Credit Reporting Act, FCRA, 1970)’, ‘의료보험의 상호운용성 및 설명책임에 관한 법률(Health Insurance Portability and Accountability Act, HIPPA, 1996)’ 등이 운영되고 있다.

피해자 구제제도는 연방거래위원회(FTC)가 정부차원에서 기능하고 민간부문은 BBBOnline의 활동이 대표적이다. ‘개인정보유출고지법(Data Breach Notification Law, 2003)’은 캘리포니아주가 2003년 최초로 도입한 이후 2010년 현재 46개주가 채택했으며 연방법화가 추진되고 있다. 이 법의 정보유출시 통지의무조항은 보험시장의 급속한 성장계기로 작용했다.

법 시행 이후 유출사고 통계가 급격히 증가했으며, 실제 사고발생 기업의 주가는 크게 하락했다. 이러한 상황에서 미국에서 사이버보험이 도입된 것은 1990년대 후반이며, IT산업의 발전과 함께 시장이 확대됐다. 컴퓨터 관련 직접적인 손해 외에 개인정보 유출, 사생활 침해 등으로 발생하는 배상책임 손실에 대비한 특화상품은 인터넷 배상책임보험(Internet Liability Insurance), 네트워크 시큐리티 보험(Network Security Insurance) 등이 운영되고 있다.

사이버보험은 초기에는 컴퓨터 시스템에 대한 권한 없는 접근과 같은 네트워크에 대한 배상책임만을 보장했으나, 이후 시스템 자체 손해, 프라이버시 책임, 보안정보유출 관련 제반비용으로 담보 범위가 확대됐다. 2011년 기준 보험료 규모는 연간 8억 달러(전년도 6억 달러)로 추산되며, 앞으로도 지속적으로 성장이 예상되고 있다.

2011년 미국의 사이버공격 대응비용은 대략 1조 달러로 추산되며 사이버공격의 증가에도 불구하고, 대부분의 회사는 네트워크 배상책임보험에 미가입한 것으로 조사됐다. 조사대상 기업 중 27%가 사이버배상책임을 구입, 대다수(61%)는 1,000만~ 5,000만 달러를 보상한도액으로 설정하고 있는 것으로 나타났다.

유럽, EU 개인정보보호 지침 재정비하면서 보험 판매
EU가맹국은 공공부문과 민간부문을 포괄적으로 규제하는 ‘EU 정보보호 지침’이 1995년 제정됨에 따라 국내법을 정비했다. 영국 ‘개인정보보호법(Data Protection Act, 1998)’, 독일‘연방정보호호법(Bundesdatenschutzgesetz: BDSG, 2001)’, 프랑스 ‘정보처리, 정보파일 및 개인의 자유에 관한 1978년 1월 6일의 법률 78-17호, 1978(2004년 법률 제2004-801호에 의해 개정)’ 등이다.

유럽 각국의 보험은 EU의 개인정보보호 지침 이후 각국이 개인정보관련 법률을 재정비하며 판매되기 시작했다. 최근 유럽은 개인정보 유출사고에 대한 체계적인 대책마련을 위한 유럽 네트워크 정보보안 전문기관인 ENISA(Europe Network and Information Security Agency)를 출범시켜 범국가적인 노력을 기울였다.

유럽네트워크정보보호원(ENISA)은 미국의 ‘개인정보유출고지법’의 효과성에 주목하며 유럽에서 사이버보험 시장의 범위를 확대하기 위한 정부의 조치를 다음과 같이 언급했다.
- 사이버보험의 의무화(Compulsory cyber-insurance)
- 사이버리스크에 대한 국가재보험(Government re-insurance)
- 보험상품에 대한 차등화방지 규제(Additional anti-discriminatory regulation)
- 위험공유를 위한 금융상품 이용(Financial instruments for risk sharing)으로 금융시장에서 사이버리스크 전가수단 확충
- 부보 가능한 인프라구조의 설계(Insurable Infrastructure design)로 보험가입 유도

유럽연합(EU)는 2012년 개인정보 침해사실의 통지 의무를 법제화한 ‘e-프라이버시’ 지침을 개정, 2013부터 각 회원국에서 실시했다. 미국과 비교해 유럽은 사이버리스크에 대한 위험인식도가 낮으며 이는 미국이 유럽보다 소송이 일반화된 데 기인한다. 다만, EU자료보호법의 개정안은 정보유출로 인한 피해자의 집단소송을 담고 있어 향후 소송이 증가할 것으로 예상된다. 유럽의 보험회사는 IT위험의 위협성이 증가될 것으로 보고 있으며, 미국의 소송 진행 케이스 등을 면밀히 모니터링하고 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>