20일 사이버보험 활성화 방안을 토론하기 위해 일반기업, 정보보안기업, 보험 관련 전문기관, 정부, 학계, 법조계 등이 모인 ‘제1차 사이버보험 포럼’에서 보험사 관계자가 꺼낸 말이다.

이날 최용민 한화손해보험 상무는 “사이버보험에 가입하면 좋다고 권고하면서도 보장한도는 5억원, 10억원 정도로 낮게 가져가며 적극적으로 안내도 못하는 상황”이라며 “해당 기업의 잠재적 위험도와 대응능력에 대한 평가가 제대로 이뤄져야 하는데, 정보공유가 되지 않은 상황에서 보험료를 산출해야 하니 소극적으로 대할 수밖에 없다”고 말했다.

미국 플로리다를 덮친 허리케인에 12여곳의 보험사가 지급불능 상태에 빠졌듯, 사이버공격이 보험사를 파산으로 몰고 갈 수도 있다는 우려다. 이에 보험업계는 보험료 산정을 위한 데이터와 인증·평가체계를 요구하고 있다.

반면, 기업들은 비용절감과 피해구제 확실성 차원에서 사이버보험에 접근하고 있다. 새로운 인증체계보다는 기존에 정부가 실시했던 개인정보보호관리체계(PIMS) 등의 인증을 활용하기를 원하고 있고, 사고수습 과정에서 소용되는 비용과 손실을 실제로 복원할 수 있기를 기대하고 있다.

정부는 사이버보험이 초기단계인 만큼 인센티브와 자율성에 초점을 맞추고 있다. 다만, 민간기관에 대한 지원인 만큼 예산확보가 어렵고 강제성을 띄지 않으면 참여도를 높이기 어렵다는 한계를 해결해야 한다.

사이버보험 활성화에 대해 서로 공감하면서도 방법론과 방향성에 있어 이해관계자들의 의견이 일치되지 않는 장면이다.

사이버보험의 긍정적 측면은 사고 때 혼란을 최소화하면서 피해구제·복구를 신속히 할 수 있고, 자동차 보험이 자동차 산업을 견인했듯 보안산업 발전까지 꾀할 수 있다는 점에 있다.

전세계 사이버사고 피해액은 전세계 자연재해 피해규모보다 약 3배 많은 연간 5750억달러다. 사이버공격은 국가기반시설부터 일상생활까지 위협할 정도로 발전하고 있지만, 국내 기업 중 IT 예산의 정보보호 5% 이상 투자기업은 1.4%에 불과하다. 미국 46%, 영국 41%와 비교하면 턱없이 모자란 수준이다.

이러한 상황에서 사이버보험이 수면 위로 오르고 있지만, 실효성 있는 대책을 마련해 시장에 연착륙시키기 위한 논의가 더 필요한 실정이다.

이날 최 상무는 “대부분 파산하는 회사가 하나의 이벤트로 망하는 것이 아니라 누적된 위험을 통제하지 못해서다”라며 “사이버위험도 마찬가지인데, 손실금액을 개별적으로 평가할 수 있는 회사는 아직까지 없다”고 지적했다.

이어 “회사의 잠재적 위험도와, 어느정도 대응하고 있는지에 대한 평가가 제대로 이뤄지지 않고 있다”며 “해외기관에 의뢰해 보험료를 산정해야 한다”고 덧붙였다.

보험사 입장에서 가장 필요한 요소는 ‘데이터’다. 과거 데이터를 통해 위험도를 평가하고 리스크 모델링을 진행, 보험료를 산출하기 위해서다. 하지만, 기업이 사이버사고에 대한 정보를 보험사와 어느 정도까지 공유할 수 있을지 미지수다. 비식별조치를 취하면 되지만, 시민단체에서 개인정보보호를 이유로 저항하고 있고 비식별 범위에 대한 논의도 추가적으로 필요하다.

기업은 리스크 평가와 보험 가입을 위한 추가적인 과정에 대해 부담스럽다는 입장이다. 정부가 요구하는 정보보호 관련 인증을 위해 시간과 비용을 투입했는데, 또다시 이런 절차를 반복해야 한다는 피로도를 느끼고 있다.

지난해 대량 개인정보 유출로 최대 과징금을 부과 받은 바 있는 인터파크는 이번 토론회를 통해 기업부담을 완화할 수 있는 방안으로 사이버보험에 접근했다.

윤혜정 인터파크 실장은 “3자구조형 보험상품이든 추가적인 과정이 들어간다면 또다시 절대적인 시간과 노력이 들어갈 수밖에 없다”며 “PIMS를 취득한 기업에 대해서는 인정해주거나, 3자가 참여하더라도 기업 부담이 적었으면 한다”고 강조했다. 3자 구조형 보험상품은 수요기업과 보험사 외 정보보호기업이 참여하는 구조다.

윤 실장은 “매출 손실까지 보험사에 요구하면 결국 보험료 상승으로 올라가기 때문에 로펌 및 홍보 비용 등 사고 수습을 위해 투입되는 비용을 기업의 과실 유무와 관계없이 보장하는 선에서 추가적으로 고려될 수 있다”며 “사이버보험 가입 때 과징금·과태료 경감 부분을 확실하게 했으면 한다”고 말을 보탰다.

정부는 사이버보험 활성화를 위해 적극적인 지원에 나서겠다는 방침이지만, 이를 위해서는 넘어야 할 산이 더 많다.

허성욱 과학기술정보통신부 과장은 “사이버보험 활성화를 위해 올해 예산으로 비식별화 조치 등을 잡았지만, 결국 예산 확보에 실패했다”며 “돈을 버는 보험사를 위해 왜 정부가 지원하느냐는 부분도 있고, 한국인터넷진흥원(KISA)을 통해 사고 데이터를 얻으려면 해당 기업의 협조도 필요하다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr