보험연 "대규모 정보유출은 시스템적 리스크…스트레스 테스트 도입해야"
(서울=연합뉴스) 강수련 기자 = 최근 통신사와 쿠팡 등에서 잇따라 대규모 개인정보 유출 사고가 발생했지만, 기업이 사이버 보험에 가입할 유인이 충분하지 않다는 지적이 나왔다.
이에 따라 징벌적 배상 등 정책이 필요하다는 의견이 제기됐다.
7일 보험연구원에 따르면 정광민 포항공대 교수는 '대규모 개인정보 유출 사고와 시스템적 사이버 리스크' 리포트에서 "최근 발생한 대규모 개인정보 유출 사고는 정보통신·디지털 플랫폼 등 사실상 사회 인프라 지위를 가진 기업의 보안 실패가 산업·금융·사회로 전반으로 확산하는 새로운 '시스템적 사이버 리스크'"라고 진단했다.
그는 쿠팡과 주요 통신사의 개인정보 유출 사례를 언급하며 "독·과점 지위에 있는 기업이 사이버 보안에 실패하면 피싱·스미싱 등 사이버 공격이 정교해지고, 명의도용·계정 탈취 등으로 인한 2차·3차 피해를 유발할 수 있다"고 했다.
이렇게 사이버 공격이 늘고 있지만 여전히 국내 사이버 보험 시장은 크게 성장하지 못하고 있다.
기업들이 보안 리스크를 낮게 인식하거나, 개인정보 유출로 배상해야 하는 금액이 많지 않아 보험에 가입할 유인이 적기 때문이다.
실제로 지난 2014년 카드사, 2016년 인터파크 개인 정보 유출 사고에서도 법원이 인정한 배상액은 1인당 10만원 수준에 그쳤다.
올해부터 개인정보보호법의 과징금 기준이 매출액의 3%로 강화됐지만, 피해자에게 돌아가는 실질적인 배상액은 여전히 제한적이라는 지적이다.
정 교수는 "대규모 개인정보 유출 사고, 국가 기반 시설 공격, 랜섬웨어에 의한 전산 마비 같은 시스템적 사이버 리스크에 대응하려면 기업·보험업계·정부의 공동 노력이 요구된다"고 강조했다.
기업은 전사적 리스크 관리체계를 강화하고 보험사는 보안·인수(언더라이팅) 전문성을 확보해야 한다고 했다.
정부는 공시·징벌적 배상·공사 협력 보험 프로그램 등 정책 기반을 갖추고, 금융당국은 극단적 사이버 사고 시나리오를 기반으로 '사이버 리스크 스트레스 테스트'를 도입하라고 제언했다.
정 교수는 "금융기관의 시스템적 취약성을 평가하고 빅테크·플랫폼 기업의 사이버 사고가 금융 안정성에 미치는 충격을 정량적으로 관리할 필요가 있다"고 했다.
training@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
