[디지털데일리 권유승 기자] 사이버 리스크관리 강화와 사이버보험의 역할 제고를 위해 사고 정보 관련 일원화된 정보 수집･공유 체계를 확립해야 한다는 주장이 나왔다.

4일 보험연구원에 따르면 국내 사이버 사고 정보 공유 체계 관련 문제점으로 ▲일원화된 정보 수집･공유 체계의 부재 ▲참여자에 대한 개인정보보호 관련 법적 책임 감경 조항 부재 ▲낮은 활용률 등이 제기된다.

우선, 구속력을 가지는 일원화된 사이버 사고 정보 수집･공유 체계가 없어 사이버 사고 정보 수집이 제한적이고 업종 간 사이버 사고 정보의 공유가 활발하지 않다는 지적이 나온다.

미국의 경우 사이버 정보 공유법(CISA법)을 제정해 적정 연방정부 부처가 사이버 사고 정보를 수집･공유하도록 했다. CISA법이 사이버 사고 정보 공유에 참여하는 기관을 개인정보보호 관련 법적 책임으로부터 보호해 주는 반면, 국내의 경우 그러한 조항이 없어 기관들이 참여에 소극적이라는 설명이다.

우리나라는 국내외 사이버 위협 인텔리전스 서비스를 이용한 정보 공유도 저조하다. 한국침해사고대응팀협의회 회원 73개 사 중 55%가 사이버 위협정보 분석･공유 시스템(C-TAS)를 이용하고, 국내･해외 사이버 위협 인텔리전스 서비스를 사용하는 비중은 각각 30.14%와 16.44%에 불과했다.

최창희 보험연구원 연구원은 "지금까지 사이버 리스크관리 강화를 위한 법 제정･개정 노력이 지속적으로 이뤄지고 있으나 입법교착으로 제도개선이 이뤄지지 못하고 있다"고 꼬집었다.

실제 국가사이버위기관리법안(18대, 공성진), 국가 사이버안전관리에 관한 법률안(19대, 하태경), 사이버위협정보 공유에 관한 법률안(19대, 이철우), 사이버테러 방지 및 대응에 관한 법률안(19대, 이노근), 국가 사이버안보에 관한 법률안(20대, 이철우) 등이 발의됐으나 결국 폐기됐다.

이에 우리나라의 사이버 리스크관리 강화와 사이버보험의 역할 제고를 위해 미국 사례를 고려한 사이버 사고 정보의 수집･공유 관련 제도개선이 필요하다고 최 연구원은 분석했다.

2015년부터 CISA법을 제정한 미국 정부는 사이버 사고 정보를 수집하고 이를 민간에 공유해 왔으며, 미국 보험사들 역시 연방정부와 사이버 사고 정보를 공유해 사이버 리스크관리에 나서왔다.

최 연구원은 "표준 리스크관리 절차(리스크 식별→평가→대응)에 따라 사이버 리스크관리를 하기 위해 사이버 사고 정보의 집적･공유가 필수적"이라며 "사이버보험의 핵심 역할 중 하나는 사이버 리스크를 정량화하는 것인데, 이를 위하여 다양한 사이버 사고 정보가 필요하다"고 제언했다.