3370만명 유출에 '10억 보험'…사이버보험 의무화 도마 위

ⓒ 챗GPT생성 이미지

[프라임경제] 쿠팡에서 대규모의 개인정보 유출 사고가 발생하면서 현행 '개인정보 손해배상 책임보험' 제도의 실효성이 도마 위에 올랐다. 쿠팡이 법정 최소한도 10억원만 가입한 것으로 확인되면서, 대규모 사고 대응력을 높이기 위해 기업의 보험 가입 기준을 상향해야 한다는 목소리가 커지고 있다.

업계에 따르면 쿠팡은 메리츠화재의 '개인정보유출 배상책임보험'에 10억원 한도로 가입한 것으로 파악된다. 이는 개인정보보호법 시행령이 규정한 의무 가입 최소 금액과 동일한 수준이다. 정보통신망법상 쿠팡은 '개인정보보호 배상책임보험' 가입이 의무인 사업자다.

문제는 사고 규모다. 이번 유출 피해자는 약 3370만명으로 추정된다. 피해자들이 손해배상을 청구할 경우 관례로 산정되는 1인당 20만원 기준을 적용하면 전체 배상액은 약 6조7000억원에 달한다. 현행 보험 구조로는 사실상 보상 기능이 작동하기 어렵다는 지적이 나오는 이유다.

메리츠화재 관계자는 "아직 쿠팡 측의 공식 사고 접수는 들어오지 않았다"며 "사고 내용이 확정되지 않은 상황에서 적용 여부를 언급하기 조심스럽다"고 말했다.

올해 6월 말 기준 개인정보유출 배상책임보험을 취급하는 15개 보험사 가입 건수는 약 7000건이다. 하지만 개인정보보호위원회는 보험 대상 기업을 약 8만3000개∼38만개로 추정하고 있기에 가입률은 2∼8% 수준(지난 5월 말 기준)에 불과하다.

아울러 이번 사건으로 쿠팡은 '사이버 보험'에도 가입하지 않은 사실이 알려졌다. 사이버 보험은 단순 개인정보 배상뿐 아니라 △사고 대응 비용 △포렌식 비용 △영업 중단 손실 △과징금·제재금 등까지 보상하는 상품으로, 대형 보안사고 시 기업의 리스크를 종합적으로 커버한다.

현대해상은 기업 전용 '하이사이버 종합보험'을 출시해 해킹 및 개인정보 유출 등에 대한 손해를 종합적으로 보장하고 있다. 이 상품은 개인정보 유출∙정보유지 위반∙네트워크 보안 등 사이버 사고로 인한 법률상 배상책임(징벌적 손해 포함)을 담보한다. 삼성화재도 올해 4월부터 중소기업으로 대상을 넓혀 '삼성사이버 종합보험'을 출시했다.

미국 기업들은 이미 천문학적 과징금 판결이 빈번한 만큼 필수적으로 가입하고 있다. 국내에서도 해킹 사고가 급증하면서 사이버보안 투자의 한 축으로 자리 잡고 있다. 지난해 SK텔레콤 개인정보 유출 이후 이동통신 3사도 뒤늦게 관련 보험에 가입한 바 있다.

잇따른 대형 해킹 사고로 국회에서도 기업의 사이버보험 가입을 의무화하는 법안이 논의 중이다. 기업의 보안 투자가 시스템 강화뿐 아니라 사후 대응 비용 관리까지 포함돼야 한다는 판단에서다.

박정훈 국민의힘 의원은 지난 9일 기업과 이용자가 사이버 침해사고로 입는 피해를 신속하게 보상하는 제도적 장치를 마련한다는 취지의 '사이버재해보험법'을 대표 발의했다.

손해보험협회도 대규모 정보 보유 기업의 최소 보험가입금액 상향을 개인정보보호위원회에 건의할 계획이다. 정보 주체 1000만명 이상 또는 매출액 10조원 초과 기업의 최소 가입 한도를 1000억원으로 높여야 한다는 입장이다. 또 보험 미가입 시에는 과태료 처분도 적극 필요하다고 주장했다.

전문가들은 "고의·실수 여부는 수사 결과에 따라 갈리겠지만, 현행 최소 가입 구조는 대규모 플랫폼 기업의 리스크를 감당할 수준이 아니다"며 "해외처럼 기업의 틀을 벗어난 종합 보상 체계를 갖출 필요가 있다"고 지적했다.