데이터 축적 어렵고 기업·보험사 이해 달라 사이버보험 미미
금융당국, 내년 6월 의무화 계획...표준약관 제정부터 실행해야
[서울=뉴스핌] 김승동 기자 = 국내 최대 가상화폐거래소인 빗썸이 지난 6월 해킹으로 수백억 원대 피해를 입었다. 빗썸은 앞서 국내 거래소 중 가장 큰 금액으로 보험에 가입했다. 해킹 등 사이버 위험에 대비해 현대해상(뉴사이버 종합보험 30억 원)과 흥국화재(개인정보유출 배상책임보험 30억 원)에 모두 60억 원 한도의 보험계약을 체결한 것. 하지만 두 보험사로부터 보험금을 지급하지 못한다는 통보를 받았다. 이유는 재산(property) 피해 보상에 가입하지 않았다는 것.
현대해상이 보상하는 담보는 △정보 유지 위반 △네트워크 보안 △미디어 배상 책임 △평판 훼손 배상 책임 등이다. 즉 회사 기밀 유지나 해킹에 따른 복구 비용은 보상받을 수 있지만 해커가 인출해 간 가상화폐는 보상하지 않는다. 흥국화재의 보상 담보 역시 개인정보 유출로 인한 배상 책임이다. 해커가 투자자 개인정보를 해킹한 후 개인 계좌에서 인출해 갔다면 피해 보상을 받을 수 있었다. 하지만 해커들은 빗썸이 보유한 전자지갑의 가상화폐를 탈취한 것으로 드러났다.
[사진=게티이미지] |
◆ 데이터 축적 어려워 보험도 걸음마
인터넷으로 연결하는 네트워크를 포괄해 흔히 ‘사이버’라 부른다. 이제 사이버를 빼놓고는 그 어떤 현상도 설명할 수 없고, 사이버와 현실의 경계선이 희미해진 세상이다. 최근 사이버 공격은 개별적인 피해를 넘어 대규모 인프라 붕괴를 초래하거나 금융 시스템 신뢰성을 훼손할 수 있는 지경에 이르렀다. 기업을 경영한다면 이 리스크를 가장 먼저 대비해야 할 정도로 중요성이 커졌다. 하지만 사이버보험은 아직 걸음마 단계에 불과하다.
사이버 리스크 대비가 가장 활발하다는 미국도 기업의 32%(2017년 기준)만 사이버보험에 가입했다. 이마저도 보장 범위가 극히 제한적이다. 사이버보험이 확산되지 않는 가장 큰 이유는 사고 위험과 보험료, 보험금을 책정할 수 있는 보험회사의 데이터가 부족하다는 점이다. 사이버 세상이 급격히 확대됐지만 이런 데이터를 축적하지 못했다.
보험사는 재보험(보험사가 가입하는 보험) 회사를 끼고 사이버보험을 개발한다. 여기에 사이버 리스크는 한번 발생하면 피해 규모가 크기 때문에 할증률을 더한다. 한마디로 데이터 부족이 비싼 보험료로 이어지는 셈이다. 사정이 이렇다 보니 기업은 가입을 피하거나 가입하더라도 빗썸처럼 제한적으로 한다. 이는 또다시 데이터 부족이란 악순환에 빠지게 한다.
기술이 발전한다는 것도 문제점이다. 과거 기술에 대한 데이터가 쌓이고 리스크를 분석할 수 있게 되는 사이 새로운 기술이 나온다. 과거에 쌓았던 데이터는 거의 쓸모없게 되는 셈이다.
최고경영자(CEO)와 정보보호최고책임자(CISO, Chief Information Security Officer) 간의 인식 차이도 크다. CEO는 비용 축소를 원하므로 전체 사이버 위험에 대한 대비보다 가성비 높은 담보를 선별한다. 보험증서에서 말하는 ‘보호 범위’에 관해서도 잘 모른다. 보험사와 CISO가 제안한 보험의 일부 담보만 가입하게 된다.
보험사와 CISO의 간극도 있다. ‘위험’에 대해 기업의 CISO와 보험사가 다르게 인식한다. 통상 CISO는 위협과 취약성 측면에서 보험을 생각한다. 반면 보험사는 사이버 위협으로 인한 손실 감소 측면에서 바라본다. CISO는 정량적 모델을 우선시하지만 보험사는 정성적 모델을 앞세운다.
향후 사이버 사건이 발생한 후 CISO와 손해사정사 사이의 간극도 예상된다. 보험금 산정에 만족하지 못하는 등 커뮤니케이션 오류가 발생하게 되는 것.
◆ 정책 지원하고 표준약관 제정해야
최종구 금융위원장은 지난 6월 ‘손해보험 혁신·발전 방안 2단계’를 발표하면서 내년 6월부터 사이버보험 가입을 의무화할 것이라고 밝혔다. 이를 위해 각 보험사 사이버보험료의 기준이 되는 보험요율 산출 기능 강화를 지원하겠다고 덧붙였다. 보험개발원이 제공하는 보험료 범위를 확대해 보험사가 자체 통계를 집적하고 보험료도 산출할 수 있도록 한다는 방침이다. 또 사이버보험 약관을 표준화하겠다는 계획도 세웠다.
금융당국의 계획대로 사이버보험 가입이 의무화되면 쌓이는 데이터도 급증할 것이다. 그리고 이를 바탕으로 각 산업에 맞는 표준약관을 제정하는 것도 가능해질 것이다. 이때부터 본격적으로 한국 사이버보험의 걸음마가 시작될 것으로 업계 전문가들은 예상한다. 빗썸과 같은 사고가 발생해도 부담은 훨씬 줄어들 수 있다.
0I087094891@newspim.com