해마다 개인정보 유출 사고의 규모는 커지고, 빈도는 잦아진다. 이를 대비하기 위한 사이버보험은 아직 뿌리를 내리지 못하고 있다.
해마다 개인정보 유출 사고의 규모는 커지고, 빈도는 잦아진다. 이를 대비하기 위한 사이버보험은 아직 뿌리를 내리지 못하고 있다.
개인정보 유출 사고가 해마다 늘어나면서 피해 보상 책임에 대한 목소리도 높아진다. 국내에도 '사이버보험' 가입 등 기업의 대책 마련을 의무화한 제도가 올해부터 시행되고 있으나, 그 실효성에 의구심을 품는 지적이 나온다.

13일 보안업계와 보험업계에 따르면 개인정보보호법 위반에 따른 손해배상 책임보험, 이른바 ‘사이버 보험’의 국내 확산이 더디어 우려를 자아내고 있다. 의무 가입 대상 파악부터 실제 이행 여부 확인까지 매끄럽지 못하다. 주관기관인 개인정보보호위원회부터 파악과 대응에 난항을 겪고 있다는 지적이다.


현행 개인정보보호법 제39조의9에 따르면 정보통신서비스 제공자 등은 개인정보 분실·도난·유출·위조·변조 등 법을 위반할 경우에 대비해 손해배상책임을 이행할 수 있도록 보험·공제 가입이나 준비금 적립 등 필요한 조치를 마련해야 한다. 대상이 되는 기업은 전년도 매출 5000만원 이상, 전년도 말 기준 직전 3개월 간 개인정보 저장·관리 중인 이용자 수(DB 기준)가 일일 평균 1000명 이상인 경우다.

보험업계 관계자는 “이 기준대로 따지면 국내에서 1년 이상 앱 또는 웹 서비스를 운영한 기업은 거의 다 해당된다고 볼 수 있다. 이에 보험사들도 가입 대상 기업 모수 파악에 어려움을 겪는 중”이라면서 “현재 14개 보험사가 관련 상품을 내놓은 상태고, 쇼핑몰 등을 위주로 가입이 이뤄지고 있다”고 설명했다.

국회 과방위 김병욱 의원(더불어민주당)이 개인정보보호위원회로부터 받은 자료에 따르면 관련 보험 가입은 지난 8월말 기준 1만183건에 불과하다. 해당 법령이 지난해 계도 기간을 거쳐 시행됐음에도 아직 미미한 수준이다. 이러한 대책 마련을 강제하기 위한 전면적인 적발·제재는 주관기관조차 "물리적으로 불가능하다"고 평한다.

대상 범위를 넓게 설정한 게 소비자 보호라는 입법 취지에는 부합하나, 실제 시행 단계에 대한 고려가 부족해 역으로 발목을 잡은 모양새다. 더욱이 사업자의 개인정보 저장·관리 건수와 보험 관련 정보는 기업 내부정보, 즉 법인의 개인정보인 셈이라 파악하기 곤란하다. 아이러니한 상황이다.

사이버보험 가입 대신 준비금 적립을 택한 곳에 대한 확인과 조치도 마찬가지다. 현행법은 보험·공제에 가입하는 대신 피해자 보상을 위한 준비금을 적립해놓는 것도 허용한다. 여건에 따라 보다 간편하게 준비할 수 있어 적지 않은 기업에서 택하는 추세다.

일정 규모 이상 기업의 경우 정기 사업보고서 등을 통해 사내 유보금에서 이러한 준비금을 확인 가능하므로 문제되지 않는다. 문제는 공시 의무가 없는 기업의 경우다. 별도 계좌 등에 준비금을 마련해놓고 있어야 하는데, 현재로선 이를 제대로 이행하고 있는지 확인하고 조치할 길이 마땅치 않은 실정이다.

방통위로부터 해당 업무를 이어받은 지 몇 달 지나지 않은 주관기관의 고민도 깊다. 개인정보보호위원회 측은 “한국인터넷진흥원(KISA)과 협력해 중소·중견기업 대상 홍보와 계도를 강화하고 있다”면서 “개인정보보호법이 개정되면서 정보통신망법으로부터 단순히 물리적으로 통합된 조항이 적지 않다. 이에 각 규정 간 정합성을 맞추고 필요 시 세분화, 구체화하기 위한 논의와 정리를 함께 진행 중”이라고 밝혔다.