"기업 대규모 정보유출에도 보험 가입 유인 적어···징벌적 배상해야"

최근 통신사와 쿠팡 등에서 대규모 개인정보 유출 사고가 잇따르면서 사이버 보안에 대한 우려가 커지고 있지만, 정작 기업들이 사이버 보험에 가입할 유인은 여전히 부족하다는 지적이 제기된다. 이에 따라 징벌적 배상 등 정책적 장치가 필요하다는 의견도 나온다.

7일 보험연구원에 따르면 정광민 포항공과대학교 교수는 보고서에서 최근 산업·금융·사회 전반으로 확산되는 대형 개인정보 유출 사고를 새로운 형태의 시스템적 사이버 리스크라고 진단했다.

정 교수는 쿠팡과 주요 통신사의 유출 사례를 언급하며 "독과점적 지위를 가진 기업이 보안에 실패할 경우 피싱·스미싱 등 공격이 더욱 정교해지고, 명의도용·계정 탈취 등 2·3차 피해가 이어질 수 있다"고 지적했다.

다만 위험이 커지는 상황에서도 국내 사이버 보험 시장의 성장세는 미미하다는 설명이다. 기업이 보안 리스크를 과소평가하고, 개인정보 유출 시 실제 배상해야 하는 금액이 크지 않아 보험 가입 동기가 약하기 때문이다.

실제 2014년 카드사, 2016년 인터파크 유출 사건에서도 법원이 인정한 배상액은 1인당 약 10만원 수준에 머물렀다. 올해부터 개인정보보호법의 과징금 기준이 매출액의 3%로 강화됐지만 피해자에게 돌아가는 실질적 보상은 여전히 제한적이라는 지적이다.

정 교수는 "대규모 개인정보 유출, 국가 기반시설 공격, 랜섬웨어에 따른 전산 마비 등 시스템적 사이버 리스크에 대응하려면 기업·보험업계·정부의 협력이 필수적"이라며 "기업에는 전사적 리스크 관리체계 강화, 보험사에는 보안·언더라이팅 전문성 확보가 필요하다"라고 말했다.

또 정부에는 공시 강화, 징벌적 배상 도입, 공사 협력 보험 프로그램 구축 등 정책 기반 마련을, 금융당국에는 극단적 사이버 사고를 가정한 사이버 리스크 스트레스 테스트 도입을 제안했다.

정 교수는 "금융기관의 시스템 취약성을 평가하고 빅테크·플랫폼 기업의 사이버 사고가 금융 안정성에 미치는 영향을 정량적으로 관리할 필요가 있다"고 말했다.