[이슈분석]갈 길 먼 사이버 보험

#지난해 해킹 사고가 발생한 암호화폐거래소 유빗. 유빗은 해킹 사고 발생 전 30억원 규모 사이버 보험에 가입했다. 유빗은 보험사에 보험금 지급을 요청했는데 거절당했다. DB손해보험은 유빗이 보험 가입 전 주요 사항을 미리 알려야 하는 고지 의무를 지키지 않았다는 입장이다.

#빗썸은 현대해상 '뉴시큐리티 사이버 종합보험'과 흥국화재 '개인정보 유출 배상책임보험'에 가입했다. 빗썸은 2개 보험에 가입했지만 재산담보 보장 항목은 없었다. 해킹으로 인한 재산피해는 보상 받을 길이 없다.

정부가 내년 6월부터 일정 규모 이상 정보통신 사업자에 사이버 보험 가입 의무화를 시작한다. 의무화 10개월을 앞뒀지만 보험사와 고객 모두 국내 사이버 보험 상품과 가입에 불만이 높다.

사이버 보험은 해킹에 의한 시스템 파손이나 업무 마비, 데이터 손실, 정보 유출 등에 대해 배상 책임을 보장한다.

하지만 암호화폐거래소 등 최근 해커 표적으로 부상한 기업이 보험을 가입하고 보상받지 못하는 사례가 알려지며 사이버 보험 불신이 팽배하다. 보험사는 가입 고객이 내부 보안 수준이나 상황을 제대로 고지하지 않아 보상할 수 없다는 의견이다. 기업은 보험료가 높다고 불만인데 보험사는 정확한 산출이 어렵다는 의견이다. 사이버 보험이 증가하는 사이버 위협과 보안사고 대처 방안으로 떠올랐지만 시장 안착까지 진통이 예상된다. 가입 대상인 기업과 보험사 모두 국내 사이버 보험에 대해 못마땅한 모습이다.

◇국내 사이버 보험 시장 걸음마

국내 사이버 보험 연간 보험료 규모는 2010년 기준으로 약 79억원 정도다. 2016년 322억원으로 약 4배 커졌다. 사이버 위협으로 인한 리스크에 비해 시장 규모는 작다. 사이버 보험 상품은 전자금융거래 배상책임보험, 개인정보유출 배상책임보험, e-비즈 배상책임보험 등이 있다. 아직까지 기업 정보보호 담당자는 관련 보험을 모르거나 알더라도 가입하지 않는다.

한국침해사고대응팀협의회(CONCERT)는 지난해 회원사 100곳을 대상으로 사이버 보험 가입 의향을 조사했다. 가입할 의향을 보인 곳은 41.3%이며 없는 곳은 58.7%였다. 기업은 사이버 보험에 가입하지 않는 이유로 '사고 발생 시 보장에 대한 확신이 없다'를 꼽았다. 사이버 보험이 기업 요구를 충족하지 못한다는 의견과 가입시 얻는 해택이 적다고 응답했다.

해킹이나 개인정보 유출 사고 발생시 기업은 과실이 없음을 증명한다. 과실이 입증되면 정보통신망법이나 개인정보보호법, 신용정보법 등에 따라 과태료나 과징금이 부과되기 때문이다.

고환경 법무법인 광장 변호사는 “국내법에 따르면 개인정보유출 사고 발생시 기업이 과실이 있으면 이용자에게 손해배상을 해야 한다”면서 “과실이 없음을 증명하면 이용자에게 배상하지 않아도 된다”고 말했다. 이어 “기업 대부분은 과실이 없음을 증명하기 위해 노력하게 돼 보험 요건과 상충된다”고 설명했다.

대규모 개인정보유출사고가 발생했던 옥션과 싸이월드는 모두 고객에 손해배상을 하지 않았다. 대법원은 두 회사가 사고 당시 개인정보 안전성 확보에 필요한 기술적 관리적 보호조치를 다했다고 봤다. 기업 과실이 없다고 판결나면 손해배상 책임이 없다. 사이버 보험에 가입할 필요가 없게 된다.

◇보험사도 어려운 사이버 보험

보험사는 사이버 보험 상품 설계부터 어려움을 호소한다. 해외에서 새로운 시장으로 떠오르고 있지만 국내에서 큰 기대는 안한다.

최용민 한화손해보험 상무는 “사이버 보험이 보험사에 새로운 수익원이 아니다”면서 “현재 사이버 보험료는 350억원 규모인데 400억원도 안 되는 시장에서 보상액을 맞추기 어렵다”고 지적했다. 이어 “사이버 위험을 자동차나 화재보험과 같이 위험관리라는 측면에서 이해하고 방향을 잡아야 한다”고 덧붙였다. 최 상무는 화재보험은 공장이 화재 개연성을 줄이는 조치를 하면 위험도를 평가해 보험요율을 낮춘다고 설명했다. 이처럼 사이버 보험도 IT전문 기관과 협업해 보안성을 심의한 후 할인할 방안을 찾아보자고 제안했다.

박성호 코리안리 파트장은 “보험사는 손해율이 검증되지 않는 보험 계약자에게 보험료를 낮추기 어렵다”고 말했다.

보험사는 사이버 침해 사고 데이터가 부족해 보험료 산정에 어려움을 겪는다. 보험사와 고객 기업 간에 보유한 정보도 불균형하다. 화재 보험은 100년간 축적한 데이터를 기반으로 보상 한도와 가격 책정 방법을 예측한다. 이와 달리 사이버 사고는 기업이 공개하지 않는 경우가 많아 정보가 제한된다. 생명보험에 가입하려면 건강진단서를 내고 보험료를 산정한다. 보험사는 사이버 보험에 가입하는 기업에 건강진단서와 같은 보안 수준 진단을 원한다.

송은지 한국인터넷진흥원(KISA) 선임연구원은 “보험사가 가입자 위험과 대응 수준을 정확히 판단할 수 있는 위험 평가 모델을 정교화해야 한다”면서 “대다수 보험사는 자체적으로 사이버 리스크 평가 기준이 없다”고 말했다. 이어 “사물인터넷 확산에 따라 사이버 사고에 따른 대재해 가능성이 존재한다”면서 “가입자의 사이버 위험과 대응 수준 정보는 대부분 공개되지 않는다”고 지적했다.

보험사 위험을 줄이기 위해 수요 기업과 공급기업이 상호 인정하는 리스크 평가 방법론이 절실하다. 송 연구원은 “사이버 공격은 다양한 형태로 지속 발생하는데 사고 빈도와 심도 데이터가 축적되지 않는다”면서 “평균 위험과 산업별 위험 측정이 어려워 보험 상품 개발과 보험료 산정이 쉽지 않다”고 덧붙였다.

국내 보험업계는 △기업 △업종 △사고 발생·발견 일자 △원인 △공격 종류 △피해 유형 △손해 금액 △기업 보유정보 종류 △보안수준(인증 취득 등) △기업규모와 매출액 △과거 사고 이력 등 공유를 원한다. KISA는 사이버 리스크 평가 체계를 연구하고 사고 데이터 공유를 추진해 사이버 보험 활성화를 뒷받침할 계획이다.

국내 사이버 보험 상품 구분 및 보험료 규모