이르면 7월 정부·산업계 등이 참여하는 ‘사이버보험포럼’이 출범하면서 사이버보험에 대한 논의 또한 탄력을 받을 전망이다.
17일 업계에 따르면, 개정된 정보통신망법이 지난달 국회 본회의를 통과했다. 손해배상책임의 이행을 위해 보험 또는 공제 가입, 준비금 적립 등 필요 조치를 취하도록 규정한 신설안(제32조의3)이 내년 6월 13일부터 시행된다.
보험 가입 대상 사업자 등 세부 기준은 대통령령으로 정한다. 만약 대상 사업자가 보험이나 공제 가입하지 않는 등 필요한 조치를 취하지 않으면, 신설안(제76조제2항 제4호의2)에 따라 2천만원 이하의 과태료가 부과된다.
◆사이버보험 왜 필요할까
사이버보험은 사이버 공격에 의한 시스템 파손·업무 휴지·데이터 손실·정보 유출 등에 대해 배상 책임을 보장하는 보험이다. 이미 미국 등 선진국에서는 보안 리스크를 줄이는 수단으로 사이버보험에 주목하면서 관련 시장이 활성화되고 있다.
최근 해킹으로 인한 개인정보 유출, 랜섬웨어로 인한 피해 등 사이버 위협이 전방위로 확대되면서 피해가 커지고 있다. 전 세계 사이버사고 추정 피해액은 전 세계 자연재해 피해 규모보다 약 3배 많은 연간 5천750억달러(631조원)에 달할 정도다.
그러나 국내는 침해사고가 발생해도 기업의 배상능력 부족 등으로 최종 피해자인 국민에게 충분한 보상이 이뤄지지 않은 측면이 있다. 이번 개정안은 정보통신서비스 제공자가 사이버보험 등에 가입하거나 자체 준비금을 적립, 배상능력을 높이고 사이버보안에 대한 민간의 자율적 투자를 촉진하기 위해 마련됐다.
현행 정보통신망법 또한 집적정보통신시설 사업자가 매출액에 따라 최저 보상이 가능한 보험에 가입하도록 의무화(제46조)하고 있다. 통신시설의 운영장애 등으로 발생한 피해를 보상하기 위해서다. 이를 이행하지 않을 경우 1천만원 이하의 과태료(제76조제3항 제5호)도 부과한다.
그러나 정부는 대상사업자의 책임보험 가입 여부를 보험 증서로만 확인할 뿐 상세 내용은 파악하지 못하고 있다. 또 책임보험의 손해배상 한도가 낮아 기업의 배상능력 부족까지 우려된다.
이번 개정안은 이동통신사·포털 등 여러 정보통신서비스 사업자의 손해배상책임 강화를 유도하고 사이버보험 산업을 활성화할 것으로 기대된다. 이동통신사·포털 등은 구체적인 시행령이 정해짐에 따라 필요한 조치를 취하겠다는 입장이다.
향후 사이버보험이 확산되기 위해서는 사이버보험의 필요성에 대한 공감대가 형성돼야 한다. 이르면 7월 출범하는 사이버보험포럼에서는 정보보호 관련 정부부처·보험업계·보안업계 실무진이 머리를 맞대고 후속 과제를 논의할 예정이다.
또 정보 비대칭의 문제를 해결하고 정확한 보험료를 산정할 수 있는 평가 모델도 마련돼야 한다. 이를 위해서는 사고데이터 공유가 활성화돼야 하는데, 과학기술정보통신부와 보험개발원은 기업의 사고데이터를 비식별화해 보험개발 시 활용할 수 있도록 협력할 방침이다.
보안업계 한 관계자는 “정확한 사고 통계가 확보돼야 이를 기반으로 보험상품을 설계하고 보험료도 측정할 수 있다”며 “기업은 사이버사고 데이터를 공유하기 꺼리는데, 익명화를 통해 식별 가능성을 제거하고 민관이 협력해 사고데이터 공유를 활성화할 수 있도록 체계를 마련해야 한다”고 말했다.