세계일보

쿠팡과 SK텔레콤 등 대규모 개인정보 유출 사고를 낸 기업 대부분이 ‘개인정보유출 배상보험’을 법정 최소 금액인 10억원 수준으로만 가입한 것으로 나타났다. 업계에서는 배상보험이 실효가 있으려면 최소 가입액을 기업 규모에 따라 상향할 필요가 있다는 지적이 나온다. 

8일 손보업계에 따르면 쿠팡은 현재 메리츠화재의 개인정보유출 배상책임보험에 10억원 한도로 가입돼 있다. 쿠팡은 개인정보보호법 시행령상 매출액이 800억원을 초과하고, 정보주체 수가 100만명 이상인 기업으로서 최소 10억원 규모의 보험·공제 등에 가입할 의무가 있다. 

그러나 업계에서는 이번 사고로 유출된 고객 계정이 3370만개에 달하는 만큼 이 같은 배상책임보험 의무가입 조항의 실효성이 떨어진다는 지적이 나온다. 수천만명에 달하는 피해자에게 충분한 배상을 하기 위해서는 최소 가입금액 기준을 상향할 필요가 있다는 것이다. 

2300만명의 개인정보가 유출됐던 SK텔레콤도 사건 당시 10억원 규모의 사이버보험에 가입돼 있었다가 지난 10월 1000억원 규모의 사이버보험에 가입을 마쳤다고 밝혔다. 업계 관계자는 “대부분 기업이 법정 최저한도 수준의 배상책임보험만 가입한 상태”라고 설명했다.

정광민 포항공과대 교수는 전날 보험연구원이 발간한 ‘대규모 개인정보 유출 사고와 시스템적 사이버 리스크’ 보고서에서 “2014년 발생한 카드사 개인정보 유출 사고와 2016년 인터파크 개인정보 유출 사고의 최종 배상책임판결액은 소송 참가 고객 대상으로 1인당 10만원 수준에 그쳤다”면서 “배상책임액이 크지 않아 기업 입장에서 사이버보험을 가입할 유인이 높지 않다”고 지적했다. 

이런 이유로 손해보험업계와 손보협회 등은 대규모 정보 보유 기업에 대한 최소 보험가입금액 상향 필요성을 조만간 개인정보보호위원회(개보위) 등에 건의할 계획이다. 예를 들자면 정보주체 수 1000만명 이상 또는 매출액이 10조원을 초과하는 기업에 대해서는 최소 가입 한도를 1000억원 수준으로 올려야 한다는 식이다. 

업계는 보험 미가입 기업에 대한 적극적인 과태료 부과도 필요하다는 입장이다. 개인정보보호법은 의무보험에 가입하지 않을 경우 시정조치 명령을 내리고, 이를 따르지 않을 경우 3000만원 이하의 과태료를 부과하도록 하고 있다. 그러나 개보위는 의무보험 가입 대상 파악이 어렵다는 이유 등으로 실제 과태료를 처분한 사례가 없다. 

개보위는 의무가입 대상 기업 수를 약 8만3000∼38만개로 추정하고 있다. 올해 6월 말 기준 개인정보유출 배상책임보험을 취급하는 15개사(메리츠·한화·롯데·MG·흥국·삼성·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나)의 해당 상품 가입 건수는 약 7000건으로 가입 대상 수에 한참 못 미치고 있다. 

윤솔 기자 sol.yun@segye.com 기자페이지 바로가기

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지