쿠팡발 개인정보 유출 사고가 단일 기업의 보안 실패를 넘어 사회·금융 전반에 충격을 줄 수 있는 '시스템적 사이버 리스크'로 확산하고 있다는 경고가 나왔다. 전문가들은 대형 플랫폼이 사실상 사회 인프라가 된 만큼, 정부의 사이버 스트레스 테스트 도입과 기업·보험사의 리스크 관리 체계 강화가 시급하다고 지적한다.
7일 보험연구원이 공개한 '대규모 개인정보 유출 사고와 시스템적 사이버 리스크' 리포트에서 정광민 포항공과대학교 교수는 대규모 정보 유출이 금융사기, 계정탈취, 피싱 등 2·3차 피해로 이어질 수 있다고 지적했다.
그는 이러한 사고가 "단순 보안 이슈를 넘어 국가적 위험으로 전이될 수 있는 구조적 리스크"라고 평가했다. 플랫폼에 개인정보가 집중된 구조에서는 사고 한 건이 금융·통신·유통 등으로 빠르게 확산하고 시장 신뢰도 하락과 금융시장 충격으로 이어질 수 있다고 분석한다.
정 교수는 이러한 위험을 관리하기 위해 빅테크 플랫폼을 '시스템적으로 중요한 기술'로 간주해 규율할 필요가 있다고 강조했다. 기업에는 전사적 보안체계 구축과 CISO 권한 강화가 요구되며, 보험사에는 사이버 리스크 평가 능력과 언더라이팅 전문성 제고가 필요하다고 제시했다. 정부에는 징벌적 배상제도 검토, 민관이 참여하는 재보험 프로그램 마련, 대형 플랫폼을 포함한 사이버 스트레스 테스트 도입 등을 주문했다.
기업이 사이버보험에 적극 가입하지 않는 현실적 이유도 지적됐다. 국내에서는 개인정보 유출에 따른 배상 책임이 실제로 크지 않아 보험 가입 유인이 낮다는 것이다. 2014년 카드사 정보 유출 사건과 2016년 인터파크 고객 정보 유출 사건에서도 최종 배상액은 소송에 참여한 고객 기준 1인당 10만 원 수준에 그쳤다.
올해부터 개인정보보호법 과징금이 매출액 3%까지 상향됐지만, 피해 고객에게 돌아가는 민사 배상은 여전히 매우 제한적이다. 정 교수는 "기업 입장에서 민사 리스크가 낮아 사이버보험 가입을 미루게 만드는 요인"이라고 설명했다.
보고서는 또 AT&T와 CrowdStrike 등 해외 대형 사고가 잇따르며 글로벌 사이버보험 시장의 예측 가능성이 낮아지고 있다고 지적했다. 사고가 대형화하면서 보험사 손해율 변동성이 커지고, 인수 여력도 약해지는 추세라는 것이다.
독자들의 PICK!
정 교수는 "쿠팡 사고는 디지털 플랫폼의 보안 실패가 어떻게 시스템 전체의 위협으로 번질 수 있는지를 보여준 사례"라며 "국가 차원의 사이버 복원력 강화 전략은 더 이상 선택이 아니라 필수"라고 말했다.
