보험연 "보안 사고 반복, 징벌적 배상 필요성 제기"

[아이뉴스24 박지은 기자] 최근 통신사와 쿠팡 등에서 대규모 개인정보가 유출됐지만, 기업들의 사이버 보험 가입은 여전히 확대되지 않고 있다는 분석이 나왔다. 실제 배상 규모가 작아 기업이 보안 리스크를 과소평가한다는 지적이다.

보험연구원은 7일 정광민 포항공대 교수의 분석을 인용해 최근 발생한 해킹·정보 유출 사고들은 사실상 사회 인프라 역할을 하는 대형 기업의 보안 실패에서 비롯된 ‘시스템적 사이버 리스크’라고 정의했다.

정 교수는 국민 대부분이 가입한 대형 플랫폼의 보안이 뚫리면 피싱·스미싱과 계정탈취 등 2차 피해가 광범위하게 확산할 수 있다고 진단했다.

하지만 주요 기업에 대한 사이버 공격이 늘어나도 관련 보험 시장은 정체해 있다.

개인정보 유출 피해 배상액이 낮은 데다, 기업들도 위험에 충분히 대비하지 않는 분위기라는 게 정 교수의 지적이다.

실제로 2014년 카드사, 2016년 인터파크 사고에서도 1인당 인정 배상액은 약 10만원 수준에 그쳤다. 개인정보보호법 과징금 기준이 매출의 3%로 강화됐지만, 피해자에게 돌아가는 실질 보상은 제한적이었다.

정 교수는 시스템적 리스크 대응을 위해 기업·보험사·정부가 함께 구조를 정비해야 한다고 강조했다.

기업은 조직 차원의 리스크 관리 체계를 보완하고, 보험사는 보안 평가와 인수 역량을 강화해야 한다고 지적했다.

정부에는 공시 제도와 징벌적 배상, 공공·민간 협력형 보험 프로그램 도입 등이 필요하다고 제안했다.

정 교수는 또 금융당국이 대규모 사이버 사고를 가정한 ‘사이버 리스크 스트레스 테스트’를 도입해 플랫폼과 금융기관의 취약성을 정량적으로 평가해야 한다고 했다.