"보험업에서는 사이버위험평가에 기업 정보, 사이버 위협 요소, 손해금액을 포함한 사고규모 데이터가 필요하다. 한국인터넷진흥원(KISA)이 관리하는 '사고유형, 등록일시, 피해증상, 침입경로'같은 사고신고접수 데이터는 간극이 많다. 활용이 불가능하다." (상명대 유진호 교수)
"데이터가 부족한 게 현실이다. 피해기업엔 민감한 정보겠지만 '비식별화'해 활용할 수 있다면 과학적, 체계적인 위험평가가 가능해질 것이라 본다. 위험도 평가인증과 보험료책정을 위한 보험사와 공인기관간 협업체계 구성도 고민해 볼 만하다." (보험개발원 김성호 상무)
"각 보험사가 사이버사고 데이터를 보유한 미국 기관과 파트너십을 맺고 공유를 받기에는 경제적인 이득이 없다. 보험개발원이 사이버보험 수요기업의 위험을 평가하고 모델링해 적정한도를 제시하는 역량을 키워 전수해 주는 과정이 필요하다." (한화손해보험 최용민 상무)
사이버보험 가입 의무화를 앞두고 실용적인 보험상품이 출시, 소비되려면 실제 발생한 사이버사고 세부내용과 피해액을 포함한 데이터 공유가 전제돼야 한다는 지적이 나왔다. 보험사가 이런 데이터에 접근할 수 있어야 현실적인 위험평가체계를 만들고 업종별 위험률, 계약자별 할인·할증 등 보험상품에 응용이 가능하다는 진단이다.
상명대학교 유진호 교수는 10일 서울 여의도 국회에서 더불어민주당 김성수 의원·고용진 의원 주최로 '사이버사고 피해 구제 현실화를 위한 사이버보험 활성화 방안 토론회'에서 이런 결론을 담은 주제발표를 진행했다. 토론은 국내 온라인서비스업체 대상으로 가입이 의무화될 사이버보험의 실효성 확보 방향을 논하는 자리였다.
오는 6월 13일부터 대통령령으로 정하는 범위의 정보통신서비스 제공자가 '사이버보험' 가입 의무를 진다. 지난해 5월 국회를 통과한 정보통신망법 개정안의 효력이다. 서비스를 이용하는 제3자와 국민에게 피해를 주는 사이버사고 대상 기업이 법에 따라 의무 가입한 사이버보험으로 그 손해배상책임을 이행하도록 한다는 취지다. [정보통신망법 개정안 바로가기]
현행 전자금융거래법, 정보통신망법, 신용정보법 등에 배상책임보험 가입 의무 조항이 있지만, 그 대상이 산업 분야별로 제한돼 있다. 이와 달리 개정된 망법은 정보통신사업자의 가입 의무를 담고 있다. 개정 시행령 내용에 따라 대형 통신사업자와 인터넷포털업체뿐아니라 매출비중 또는 가입자규모가 상당한 중견중소 온라인서비스업체에도 가입 의무가 생길 수 있다.
방송통신위원회는 이달말 가입 의무 대상과 금액을 구체화한 시행령(대통령령) 개정안을 내놓는다. 개정안 통과 이후 운영해 온 연구반과 법조·학·업계 전문가 의견을 수렴중이다. 아직 사이버보험 가입을 의무화할 대상과 금액의 범위가 결정되지 않았다는 뜻이다.
사이버보험 실효성 확보의 전제조건은 보험사가 실제 기업 수요에 맞춰 다양한 사이버보험 상품을 내놓는 것이다. 그렇지 않은 채 가입만 의무화하면 대상 기업에 규제 부담만 가중시킬 수 있다. 법령상 의무에서 빠진 기업들에겐 오히려 외면당할 수 있다. 이는 사이버사고시 신속한 피해구제와 복구를 보장해 최종 피해자인 국민에게 충분한 보상이 이뤄지도록 유도한다는 목표를 배척하는 결과로 이어질 수 있다.
이런 점에서 정보통신망법 시행령 개정안에 담길 가입 의무 대상 기준과 금액이 일반 기업은 물론 보험사, 정책을 추진하는 당국과 사이버보험 확산 지원부처에게 민감한 변수다. 이 부분은 특히 앞으로 출시될 사이버보험 상품의 가격과 보장내용과 직결될 수 있다.
현재 기업은 위험도에 맞는 보장내용, 요율, 금액을 기대하지만, 보험사는 아직 사이버위험평가 모델과 요율산출 수단이 제한돼 난색을 보인다. 결국 위험평가 모델과 요율산출 수단을 확보하기 위해서라도 실제 발생한 사이버사고의 데이터를 다루고 분석해야 한다는 얘기다.
토론회 주제발표와 패널 발언 주요내용을 아래에 정리했다.
■ 방통위, 시행령 담을 사이버보험 가입대상 범위·최저보험금액 기준 고민
이날 토론회에선 먼저 보험개발원 김성호 상무, 과학기술정보통신부 이상훈 정보보호기획과장, 방송통신위원회 최선경 과장, 상명대학교 유진호 교수가 사이버보험 관련 주제발표를 진행했다. 각자 사이버보험 현황과 활성화 방안, 활성화 지원방안, 개정 정보통신망법상 가입 의무화 시행준비 현황, 사이버 위험평가 모델 및 요율산출 방안과 현실의 사이버사고 데이터 공유를 위한 협력체계 필요성을 제시했다.
보험개발원 김성호 상무는 시장상황을 짚었다. 그에 따르면 국내 사이버보험 시장 규모에 해당하는 연간 수입보험료는 300억~400억원 수준이다. 프라이스워터하우스쿠퍼스(PwC)와 스위스재보험(Swiss Re)에 따르면 세계 사이버보험 시장은 2017년 3조8천억, 오는 2025년 20조 다. 이가운데 80~90%는 미국의 수요다. 이나마도 미국 전략국제문제연구소(CSIS)가 연 500조원으로 추정하는 사이버범죄 피해규모 대비 작다. 김 상무는 사이버사고 관련 통계 표준화, 상품 표준화, 위험평가를 위한 보안기업과 보험사간 사고관련 정보 공유가 필요하다고 봤다.
과기정통부 이상훈 과장은 국내외 사이버사고 관련 추세를 지적하며 국내서 상대적으로 잘 인정되지 않았던 손해배상책임 문제를 짚었다. 해외에선 일본 소프트뱅크, 영국 소니, 미국 타겟·야후·앤썸 등이 적게는 수백만, 많게는 수억 명 규모 개인정보유출로 막대한 배상금이나 합의금을 물었지만 국내엔 아직 그런 전례가 없다고 지적했다. 이 과장은 의무화되는 사이버보험이 사고에 따른 국민의 손해 보전, 기업의 피해복구 재원 조달 수단일뿐아니라, 민간의 사이버위험 대응력을 높이는 역할도 할 것이라 기대했다.
방통위 최선경 과장은 현행법상 사이버사고 손해배상 규정 현황과 보험의무화를 담은 망법 개정 경과를 제시하고 현재 검토 중인 시행령안에서 고려 중인 사항을 설명했다. 망법이 규율하는 '정보통신서비스 제공자' 범위에 전기통신사업법상 '전기통신사업자'와 그걸로 정보를 제공 및 매개하는 업체 등을 아우르면 "수백만 사업자가 해당"한다면서 이들에 모두 사이버보험 가입을 의무화할지 "고민이 많다"고 언급했다. 그는 "현재 검토되는 안은 최정 확정사항은 아니며 연구반이나 중소기업중앙회 등 유관조직을 통해 의견을 수렴할 것'이라고 덧붙였다.
상명대학교 유진호 교수는 앞서 한국인터넷진흥원(KISA) 과제로 수행한 연구결과를 바탕으로 사이버위험 평가모델 및 요율산출 방안을 제안했다. 그는 사이버보험 요율산출에 크게 기업정보, 위협요소, 사고정보, 세 가지 범주의 데이터가 필요한데, 사고정보를 검토하기가 특히 어렵다고 지적했다. 실제 발생한 사이버사고를 겪은 각 기업의 손해규모가 얼마인지를 알아야 하는데, 보험사에는 그런 데이터가 없어서다. KISA가 사이버사고 신고와 집계를 맡고 있지만 그 데이터는 보험업계가 필요로하는 데이터와 간극이 커 그마저 활용이 어려운 실정이다.
유 교수는 실제 보험업종에 필요한 데이터가 확보됐다는 전제에서 가상 데이터 기반의 요율 산출 모델도 제시했다. 기업의 연매출 또는 보유 개인정보건수와 업종 위험군별 적용계수를 산출기초로 활용하고, 보상한도액·자기부담금·체크리스트 또는 정의된 위험평가항목에 의한 개별 할인할증률을 추가 적용해 만들 수 있다는 내용이었다. 그는 "향후 실제 피해액 기반으로 업종 분류와 위험평가모델이 구체화되고 개별 사고 피해현황, 손해액 투정이 수행돼야 한다"며 "보험사 보유 데이터도 공유돼 분석용 DB를 구축할 필요도 있다"고 덧붙였다.
■ "사이버 위험평가·보험료율 산정할 사고데이터 공유돼야"
주제발표에 이어 사이버보험 현안 및 활성화방안 토론이 진행됐다. 방송통신위원회 김재영 이용자정책국장, 과학기술정보통신부 오용수 정보보호정책관, 금융위원회 하주식 보험과장, 한화손해보험 최용민 상무, 롯데카드 최동근 상무가 패널로 참석했다. 주제발표를 했던 상명대 유진호 교수가 사회를 맡았다.
롯데카드 최동근 상무는 사이버보험 의무화를 앞둔 수요 기업 입장을 제시했다. 그는 "현재 사이버보험에서 개인정보유출에 따른 배상책임은 회사책임이 있는 걸로 결정돼야 보험금을 받을 수 있다"며 "기업은 사이버사고 발생시 법적으로 최대한 귀책사유가 없다고 소명해야 하는데 그 때 보험금을 못 받는 이상한 일이 생긴다"고 말했다. 그는 "사고시 형사처벌 귀책사유가 인정되면 함께 진행중인 민사소송에서도 모두 패소하고 기업이 다 책임지는 상황도 벌어진다"며 "이런 수요자 측의 문제에 추가연구가 많이 필요하다"고 말했다.
한화손해보험 최용민 상무는 "단일 사건으로 여러 주체에 공동 사이버사고가 날 가능성이 높고, 통제될 여지가 적다"고 말했다. 이어 "기업의 보험가입 제안받는 담당자는 손해배상책임 가능성을 적게 보고 법적의무 한도만 가입하겠다는 경우, 사이버리스크 이해 부족으로 과연 사이버보험 필요할만큼 손해를 입을까 의심하는 경우, 두 부류로 나뉘는데, 보험 공급자체에 어려움이 있다"고 호소했다. 또 "질적 수준을 갖춘 사고데이터가 공유되고 보험사가 수요기업의 적정 사이버리스크 평가하고 모델링해 한도를 제시할 역량을 갖춰야 한다"고 봤다.
과기정통부 오용수 정책관은 "보호대상이 물리적 IT인프라에서 데이터로 옮아가고, 피해범위도 기업 자산을 넘어 망에 연결된 제3자 피해로 확장되는 추세"라고 지적했다. 이어 "사이버보험은 기업의 사전 리스크관리 측면이고, 전체 사이버 공격·정보유출사고 대응 핵심은 시급한 복구와 제3자와 이용자 피해방지란 점에서 한국인터넷진흥원(KISA)을 통한 대응체계 고도화, 정보공유가 핵심"이라고 말했다. 또 "보험 요율 산정과 함께 침해사고 전반의 측정을 위해 보험사와 양대 축으로 보안기업도 주체로 들어와 있다는 걸 고려해야 한다"고 덧붙였다.
한화손해보험 최용민 상무는 사이버위험평가모델을 만들고 사이버보험 요율 산정을 하려면 국내 계약자가 될 기업 사고정보공유가 필요할뿐아니라 더 광범위한 접근이 가능해야 한다고 봤다. 그는 "사이버리스크에 국경이 없다는 특성을 고려해 전세계, 특히 미국 시장에 축적된 정보 활용 방안이 필요하지 않나 생각한다"고 언급했다. 이어 "각 보험사가 리스크를 평가하고 보상한도를 추정하기엔 아직 역량이 부족해 보험개발원과 업계의 공동대응이 필요하다"며 "개별적으로 정보를 열람하고 모델링하기보단 보험개발원 주도로 추진을 바란다"고 말했다.
관련기사
- 사이버보험 포럼 1차 세미나 20일 열려2019.01.11
- "드론·자율차도 규율하는 개인영상정보보호 법제화 추진"2019.01.11
- 해킹 위협 증가에도…김경진 “1%대 사이버 보험 활성화시켜야”2019.01.11
- 가상화폐거래소도 '책임보험' 들었다2019.01.11
금융위 하주식 보험과장은 "지난해 발표한 2단계 혁신발전방안이 사이버보험관련 정책에도 적용될 것"이라며 "개별 보험사 보유 통계요율과 협의요율 적용의 자율성을 넓혔고, 개발원은 적시 보험상품 개발을 할 수 있도록 요율을 산출하는 부분도 있다"고 말했다. 이어 "개발원은 외국사례와 국내사례를 모아 다양한 참조요율이 나오도록 같이 얘기할 것"이라며 "개발원 차원의 어려움을 대신 말하면 KISA의 정보는 요율산출에 필요한 부분이 부족한데, 민간 보안회사의 정보가 더 모여 전달되면 보험사가 더 다양한 상품을 낼 수 있을 것"이라고 말했다.
방통위 김재영 이용자정책국장은 "KISA는 신고접수, 사고대응 관련 침해사고데이터만 갖고 있어 보험요율 산출에 필요한 데이터는 안 될 것 같다"며 "KISA와 보험연구원에서 방통위 개인정보유출사고 과징금·과태료 행정처분을 심의·의결서로 공개하고 있는데, 심의의결서와 법원 판례 등을 분석해 국내 데이터를 파악하면 어떨까"라고 제안했다. 이어 "사이버사고 개인정보유출 배상책임이 처음 의무화되는데 가입 동기부여 요소로 행정처분시 과징금·과태료 감경기준에 포함하는 것을 검토하겠다"고 언급했다.