"사이버 사고 피해 자연재해보다 심각"…사이버보험 필요

[아이뉴스24 성지은기자] "전 세계 사이버사고 피해액은 연간 5천750억달러로 자연재해 피해 규모(1천800억달러)의 3배에 달하는 것으로 추산된다. 불의의 사고로부터 위험을 분산하는 방법으로 사이버보험에 주목할 때다."

김용수 과학기술정보통신부 제2차관은 20일 김경진 의원실 주최로 국회의원회관에서 열린 '사이버사고 침해사고 구제 현실화를 위한 제1차 사이버보험 포럼'에서 이같이 사이버보험의 필요성을 강조했다.

사이버보험은 사이버 공격에 의한 시스템 파손·업무 휴지·데이터 손실·정보 유출 등에 대해 배상 책임을 보장하는 보험이다. 랜섬웨어 등 사이버위협이 전방위로 확대되면서 사이버보험의 필요성이 강력하게 요구되고 있다.

실제로 미국 등 선진국에서는 보안 리스크를 줄이는 수단으로 사이버보험에 주목하면서 관련 시장이 활성화되고 있다.

반면 우리나라의 사이버보험 가입률은 1.3%에 불과한 상황으로 시장 규모는 322억원에 그치고 있다. 이에 침해사고가 발생해도 기업의 배상능력 부족 등으로 최종 피해자인 국민에 보상이 충분히 이뤄지지 않고 있다.

원유재 한국침해사고대응팀협의회(CONCERT) 회장은 "지난 6월 페트야 랜섬웨어로 인해 우크라이나 원자력 발전소가 멈추는 등 주요 기관이 피해를 입었고 사이버 공격은 점차 고도화·다각화되고 있다"며 "조직의 침해사고대응팀만으로는 완벽하게 대처하기 어려운 만큼 리스크 관리 차원에서 사이버보험에 주목해야 한다"고 말했다.

김경진 의원은 "사물인터넷(IoT), 자율주행자동차 등 생활의 모든 것이 IT화되고 있다"며 "앞으로 사이버보험은 생활 전반의 위험 요소를 다루는 보험으로 확대될 가능성이 높은 만큼 이에 대한 정책 마련 등이 필요하다"고 말했다.

◆사이버 보험, 수요기업·보험사 견해차로 활성화 안돼

대내외 IT 환경이 변화하면서 사이버보험에 대한 필요성이 날로 높아져 가고 있으나 현재 수요기업과 보험사 간 견해 차이로 활성화되지 못하고 있다.

수요기업 입장에서는 사이버보험의 가입조건이 까다로운 반면 보상 범위가 작아 가입 시 혜택은 크지 않다고 판단하고 있다. 현재 피해 발생에 따른 보장한도는 10억원 안팎으로 추정된다.

반면 보험사 입장에서는 가입기업에 대한 위험 평가 정보가 충분치 않아 위험 인수 부담이 크다고 여긴다. 이에 따라 사이버보험 상품을 내놔도 적극적으로 판매하기 어려운 실정이다.

최용민 한화손해보험 상무는 "가입회사의 잠재적 위험도·사이버 보안 역량 등을 평가하기 어려워 보장한도를 10억원 내외로 낮게 가져갈 수밖에 없다"며 "사이버보험 상품을 내놔도 적극적으로 안내하기 어려운 상황인데, 위험도를 정확하게 산정하기 위한 데이터가 필요하다"고 말했다.

지연구 보험개발원 팀장은 "새로운 사이버 공격 유형이 계속해 나타나면서 언제, 어떤 규모로 손실이 발생할지 예측하기 어렵다"며 "정보의 비대칭으로 가입자의 위험 수준을 보험사가 충분히 알기 어려운 것도 사이버보험 활성화를 어렵게 만든다"고 설명했다.

이어 "특히 기업이 사이버 사고 공개에 소극적이라 정확한 사고 통계 확보가 어렵다"며 "더욱이 고객정보와 관련된 민감한 정보가 유출됐을 경우, 더욱 외부에 알리길 꺼린다"고 진단했다.

◆2025년 시장규모 200억달러…사이버보험 활성화 과제는?

세계적인 보험금융기업 알리안츠는 사이버보험 시장이 오는 2025년 200억달러 이상 규모로 성장할 것으로 예측했다. 이는 정보 유출 손실이 그만큼 증가할 수 있다는 것을 방증하며, 향후 산업 전반에서 보안 리스크 관리가 대두될 수 있음을 의미한다.

이에 따라 정보 비대칭의 문제를 해결하고 정확한 보험료를 산정할 수 있는 평가 모델 마련이 시급하다는 게 전문가들 지적이다. 이날 포럼에서는 '3자 구조형 보험상품 개발 활성화' 필요성이 대두됐다.

현재 사이버보험 상품은 수요기업과 보험사만 참여하는 2자 구조다. 이 때문에 리스크가 높은 기업만 보험금을 노리고 사이버보험 상품에 가입하는 '역선택'이 발생할 가능성이 높은 것. 또 보험 서비스 가입 후 기업이 보안 관리에 소홀한 도덕적 해이가 나타날 수 있다.

이를 막기 위해 정보보호 서비스 전문기업을 참여시키고 사전적 예방과 사후 대응 서비스를 제공해 역선택과 도덕적 해이를 줄이자는 게 3자 구조형 보험상품의 골자다.

유진호 상명대학교 교수는 "3자 구조에서 정보보안 서비스 전문기업이 가입 기업에 사전적으로 헬스케어 서비스를 제공해 보안 수준을 높이면 사고 발생률이 낮아질 수 있다"며 "이렇게 되면 보험사의 손해가 줄어들고 전체 국가적 손실도 준다"고 내다봤다.

또 "이 같은 3자 구조형 보험상품을 채택하면 보험 시장 활성화와 정보보안 시장 성장을 함께 기대할 수 있다"고 덧붙였다.

최용민 상무는 "보안기업과 손잡고 기업의 사이버 위험도를 평가하는 모델의 필요성을 느끼고 있다"며 "가령 안랩의 보안 플랫폼을 활용하는 기업 고객에 어느 정도 보험료 할인 효과를 제공하는 방식 등으로 이점을 제공할 수도 있다"고 가능성을 열어뒀다.

다만 3자 구조형 보험상품을 만들고 이를 활성화하기 위해서는 비용 문제를 줄이는 등 개선이 필요하단 목소리도 나왔다.

윤혜정 인터파크 실장은 "3자 구조형 보험상품을 도입할 경우, 컨설팅 비용 등에 따른 보험료 상승 등이 우려된다"며 "위험도 평가를 위해 보안기업이 가입기업을 추가로 검토하면 절대적 시간과 노력이 들어갈 수밖에 없는데, 기업의 부담을 줄여주는 방안이 필요하다"고 말했다.

또 사이버보험 가입을 유도하기 위해 교통사고처리특례법의 면책조항과 유사하게 '사이버사고특례조항'을 제공하자는 방안도 제시됐다. 기업이 사이버 사고에 대해 일부 과실이 있더라도 형사책임을 일정 범위 내에서 면제하자는 주장이다.

이 외▲민간보험사의 부족한 담보력을 국가가 보완하는 ''국가재보험'' 도입 방안 ▲기업이 사이버보험 가입 시 관련 과태료나 과징금을 감경하는 방안 ▲중소기업 및 협단체의 사이버보험 가입 활성화 방안 등이 제기됐다.