지난해 말 해킹으로 파산해 큰 충격을 줬던 가상통화(암호화폐) 거래소 '유빗'(Youbit)이 한 보험사의 사이버배상책임보험(이하 사이버보험)에 가입했다는 소식이 알려지며 보험업계에 상품 가입 문의가 이어졌다. 현재 사이버보험에 가입한 가상통화 거래소는 빗썸과 코인원 등 거래대금 상위권의 일부로 알려졌다.
사이버보험은 통상 해킹 등 사이버 위협으로 인한 기업의 피해나 제3자(고객)의 피해를 보상한다. 국내에서는 2007년에 처음 등장했는데 금융회사 등 의무가입 대상 외에는 가입률이 미미한 실정이다. 2016년 기준 국내 사이버보험 가입률은 1% 내외로 전세계 최하위권이다. 전세계 평균 가입률은 16%대다.
가입률이 낮다 보니 국내 사이버보험은 숫자 자체가 적고 보장하는 손해도 해외와 비교하면 턱없이 부족하다. 미국과 일본이 각각 20개, 19개의 사이버 사고 관련 손해를 보장하는 데 반해 국내에서는 개인정보 유출로 인한 손해배상 등 7개 항목만 보상해 준다. 예를 들어 미국은 해킹으로 기업의 평판이 나빠지면 이와 관련한 비용까지 보상하고 일본은 내부 직원에 의한 데이터 유출 피해까지 보험으로 보장한다. 국내에서는 사이버보험에 가입했더라도 이같은 피해는 기업이 직접 책임져야 한다.
국내에서 사이버보험이 발달하지 못한 가장 큰 이유는 사이버 리스크에 대한 인식이 낮아서다. 무엇보다 사이버 위협을 받는 기업들이 사이버보험의 보장 내용에 대해 명확히 알지 못하는 경우가 비일비재하다. 보험사도 통계 부족으로 상품을 만드는데 어려움이 있는데다 보안사고는 한번 터지면 리스크가 워낙 크다 보니 적극적으로 상품 마케팅을 하지 않는다. 보험사의 리스크를 부담하는 재보험사들도 사이버보험의 보상한도를 상향하는 데 미온적인 것으로 전해진다. 국내 사이버보험 보상한도는 최대 30억원으로 해외에 비해 낮다.
다행히 현재 국회에 계류 중인 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'이 연내 본회의를 통과하면 2만여개의 정보통신서비스 사업자는 의무적으로 사이버보험에 가입해야 한다. 하지만 의무가입 대상에 해당하지 않는 사각지대가 많다는 점이 문제다. 가상통화 거래소만 해도 첫 파산 사례까지 나왔지만 보험에 가입하지 않아도 제재할 근거가 없다.
보험으로 모든 사이버 위협이나 피해에 대비할 수는 없다. 하지만 예기치 못한 사고가 났을 때 기업이 문을 닫거나 고객이 억울한 금전적 피해를 입는 일을 막는데 최소한의 안전망은 될 수 있다. 사고가 터지고 나서 뒤늦게 특정 업종에 대한 규제를 강화하는 방식의 미봉책으로는 반복되는 정보유출 사고를 막을 수 없다. 정부는 인센티브 제도 등을 적극 도입해 사이버보험 의무가입 대상을 확대해 나가고 보험사는 상품 다양화는 물론 보상한도를 현실화해 가입률을 높이는데 힘을 보태야 한다.