커지는 해킹피해에 '개인정보 손해배상책임보험 개정안' 재논의 목소리 커져

개보위, 3월 의무보험 가입 대상 축소하는 개정안 발표
해킹사고 잇따르자 재논의 목소리 커져
김현정 의원 "의무보험 확대하고 민간보험도 활성화해야"

올해 들어 SK텔레콤·KT·롯데카드 등에서 해킹 사고가 잇따라 발생하면서 지난 3월 개인정보보호위원회가 발표한 '개인정보 손해배상책임보험 개정안' 도입을 재검토해야 한다는 목소리가 커지고 있다. 의무보험인 해당 보험을 대기업에만 적용할 게 아니라 중소기업과 정부 부처, 공공기관까지 확대해야 한다는 지적이다.

2019년 도입된 개인정보 손해배상책임보험은 개인정보 유출 피해 발생 시 기업이 소비자에게 피해를 보상할 수 있도록 보험 가입이나 준비금 적립을 의무화한 제도다. 보험 가입 기준은 '매출액 10억원, 정보주체 1만명'이다. 하지만 개보위가 지난 3월 '매출액 1500억원, 정보주체 100만명'으로 가입 기준을 높이는 시행령 개정안을 발표하면서 논란이 되고 있다. 이렇게 되면 의무가입 기업이 기존 대·중소기업 38만곳에서 대기업 200여곳으로 줄어들기 때문이다.

기업이 해킹 피해를 당하는 모습을 챗GPT가 묘사한 이미지. 챗GPT

대기업은 중소기업보다 보안 관련 투자비용이 더 많다. 그런데도 해킹 사고가 끊이지 않는다. 올해에만 GS리테일(1월), SK텔레콤(4월), YES24(6월), 롯데카드(8월) 등에서 피해가 발생했다. 대기업도 이런 상황이라 보안이 더 취약한 중소기업에서 앞으로 다량의 사고가 발생할 것이라는 우려가 나온다. 개보위가 발표한 개정안이 시행되면 중소기업의 개인정보 손해배상책임보험 가입이 소홀해지고 해킹 사고 발생 시 소비자 피해 보상은 더욱 어려워질 가능성이 높다.

지난 7월 웰컴금융그룹 계열사인 웰릭스에프아이대부에서 해킹사고가 발생했는데, 이 기업의 지난해 매출은 1500억원 미만이다. 4월엔 법인보험대리점(GA)에서도 해킹에 따른 고객 개인정보가 유출되는 등 대기업이 아닌 곳에서도 최근 사고가 끊이지 않고 있다. 한국인터넷진흥원 통계에서 지난해 신고된 랜섬웨어 공격 중 중소·중견기업 비중은 94%를 차지했다.

이런 문제를 해결하기 위해서는 개보위의 개정안 재검토를 비롯해 의무보험 가입을 정부와 공공기관까지 대폭 확대해야 한다는 지적이 제기된다. 국회 정무위원회 소속 김현정 더불어민주당 의원은 "정부 부처와 공공기관이 의무보험 가입 대상에서 빠져 있는 건 시대착오적"이라며 "최근 3년간 공공기관 개인정보 유출 사례가 급증한 만큼 단계적으로라도 공공 부문 의무가입을 확대해야 한다"고 말했다. 현재 개보위는 개정안 재검토 논의에 들어간 것으로 파악됐다.

의무보험 가입 대상 확대와 더불어 민간보험인 사이버보험을 활성화해야 한다는 의견도 있다. 사이버보험은 기업의 낮은 활용 의지와 보험사의 홍보부족 등으로 가입이 저조하다. 손해보험협회에 따르면 지난해 말 기준 16개 손보사의 사이버보험 보유계약 건수는 2만2599건으로 전년 대비 35건 늘어나는 데 그쳤다. 과학기술정보통신부가 2023년 실시한 조사에서 국내 기업 중 사이버보험을 인지하고 있는 곳은 16.1%에 불과했다. 그중에서도 7.4%만 가입 경험이 있었다.

김 의원은 "의무보험과 민간보험은 보험료와 보장범위가 크게 다른데, 현행 의무보험은 관리가 미흡해 피해 구제 기능을 상실했고 민간보험은 대기업 중심으로 운영된다"며 "보험시장이 양질의 성장을 이루려면 의무보험 기능을 제대로 강화하고 민간보험은 기업의 자발적 보안 투자를 유도하는 구조적 역할 분담이 필요하다"고 전했다.

최동현 기자 nell@asiae.co.kr