• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호 보험시장, 왜 활성화 안 되나? 2013.08.20

기업내 정보보호, 기술적 관리·운영에서 경영차원으로 전환해야

[보안뉴스 김경애] 3.20 및 6.25 사이버테러, 여러 번의 금융사고, 온라인게임 등의 개인정보 유출 등 각종 보안사고가 증가함에 따라 사이버 위협에 대한 리스크 분산 효과가 큰 정보보호 보험의 중요성이 커지고 있다. 그러나 국내의 경우, 정보보호 보험시장 육성을 위한 기반이 제대로 마련되어 있지 않은 실정이다.


이와 관련 KISA가 발표한 ‘국내 정보보호 보험시장 활성화 방안에 관한 정책제언’에 따르면 국내 정보보호 보험시장 규모는 2010년 기준 연간 약 80억원으로 매우 협소한 상황이다. 또한, 2010년 기준 정보보안 침해사고에 대비하여 보험에 가입하고 있는 사업체는 4.7%에 불과해 여전히 낮은 가입률을 보이고 있다.


국내에 운영되고 있는 정보보호 보험 상품으로는 △전자금융거래 배상책임보험(LIG 손해보험) △공인전자문서 보관소 배상책임보험 △IDC사업자 배상책임보험 등 의무보험 3종과 △개인정보유출 배상책임보험(현대해상·한화손해보험) △e-Biz 배상책임보험(동부화재) 등 2종의 임의보험으로 총 5종이 있다. 


그 가운데 의무보험은 전자금융거래법의 금융기관, 정보통신망법의 IDC사업자 등 소수의 특정 사업자가 의무적으로 가입해야 하는 것으로 해킹, 위법행위로 인한 손해 등에 대해서 보상하고 있다. 그러나 보상한도액이 작아 실효성이 낮다는 평가를 받고 있다.


이처럼 정보보호 보험이 활성화 되지 않는 원인에 대해 KISA 정책연구실 민경식 박사는 “보험료 산정에 대한 명확한 기준 없이 비정보보호 전문가가 일반적인 보험론 입장에서 산출하고 있어 제대로 된 연구가 필요하다”고 밝혔다.


이는 개인정보유출 피해액을 정량적으로 산출하기 위해 피해액의 직접 산출이 가능한 직접 비용을 중심으로 고려할 뿐 기업 이미지 손상에 따른 브랜드 가치하락 등 계량화가 어려운 무형자산 손실비용과 고객의 신뢰도 측정 비용, 시스템 보안 및 교체 비용 등 침해사고 이후에 간접비용은 제외되는 등 정확도가 떨어져 문제가 발생할 수 있다고 지적했다.


이러한 문제는 결국 개인별 피해보상액과 기업들의 피해복구 비용의 정확한 산출을 어렵게 함으로써 보험사들의 정보보호 보험상품 개발이 힘들어지고, 사이버 침해사고 관련 소송에 따른 손해배상 판결에 영향을 미치는 문제를 유발한다는 것이다.


임의보험의 경우는 가입자의 자유의사에 맡겨 가입하는 보험으로 온라인 쇼핑몰 사업자, 고객정보를 다루는 업종 등 인터넷 사업자를 대상으로 하고 있다. 하지만 대규모 개인정보 유출사고에 대해 기업의 책임을 인정하지 않는 법원 판결이 잇따라 발생하면서 기업체의 보험가입 필요성에 대한 인식이 낮아진 상황이다.


실제로 차건상 박사가 발표한 개인정보 유출에 따른 손해배상액 산정기준에 관한 연구에 따르면 옥션, 다음, GS칼텍스, 네이트의 개인정보 유출사고와 관련 모두 기업과실이 있지만 위자료는 네이트에서만 1인당 20만원으로 책정되었을 뿐 모두 위자료가 없다고 밝힌 바 있다.


 ▲KISA 정책연구실 민 경 식 박사

이와 관련 민경식 박사는 “이용자 입장에서는 정보보안 이슈가 실제 존재하고 있는데 제대로 대응하지 못하고 있다”며 “이용자는 대응을 요구하고 있는데 실질적으로 판례를 보면 대부분 이용자가 패소하고 있는 실정이다. 따라서 이용자 보호 측면에서 피해를 입을 경우, 실질적인 피해보상을 받을 수 있도록 해야 하고, 기업 입장에서도 정보보호 문제를 기업이 모두 떠안아야 한다는 부담감을 시스템적으로 해결해줄 수 있어야 한다”고 밝혔다.


또한,  민경식 박사는 “여전히 많은 기업들이 정보보호에 큰 비중을 두고 있지 않다”며, “중소기업은 여력이 없다고 해도 중견·대기업의 경우 정보보호에 대해 기술적으로 관리·운영만 하면 된다고 생각할 뿐 기업경영 차원에서 인식하지는 않는 실정”이라고 말했다.

이는 CEO 및 기업 임원진들이 기업의 위기를 초래하는 여러 가지 리스크 요인 중 보안위협에 대한 인식은 부족하다는 것으로, 이에 대한 인식 전환이 중요하다고 민 박사는 강조했다.


그렇다면 정보보호 보험을 활성화하기 위한 방안은 무엇일까? 이와 관련 민경식 박사는 “무엇보다 기업이 경영차원에서 정보보호에 대해 접근한다면 분명 정보보호 보험에 대해서도 인식할 것”이라며, “기업이 회계감사 때 정보보호에 대한 감사내용을 함께 포함시키는 방법이나 일본이나 선진국의 경우처럼 경영실적 보고 시 정보보호를 잘했는지를 평가하고, 기업이 보유하고 있는 고객정보를 잘 관리하고 있는지 등을 보고내용에 포함시키는 것도 활성화 방법 중 하나”라고 제시했다.

 

또한, 민경식 박사는 정보보호 보험과 관련된 보직과 함께 이와 관련된 기준을 마련하고, 피해를 명확히 산정할 수 있는 가이드 등이 제시된다면 국내 보안수준 향상은 물론 다양한 정보보호 보험상품이 출시되는 기회가 될 수 있을 것이라고 덧붙였다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>