한국CISO협의회, ‘제95차 CISO 포럼’ 개최...사이버보험 상품 관련 논의 활발
김병관 의원, 개인정보보호법 개정시 CISO 형사처벌 문제 다룰 것

[보안뉴스 원병철 기자] 정보통신망법이 개정되면서 바뀌는 것이 하나둘이 아니었지만, 특히 ‘개인정보보호배상책임보험’ 일명 사이버보험 의무화는 많은 이슈를 불러왔다. 게다가 의무가입이 확정된 6월 13일 이후에도 사이버보험 상품이 출시되지 않았고, 논란 속에 정부가 올해 12월 31일까지 가입을 유예하면서 기업들의 고민은 커져만 갔다.


이러한 가운데 8월 20일 더 프라자호텔에서 열린 ‘제95차 CISO 포럼’은 논란의 대상인 사이버보험의 실제 상품을 출시한 보험사들과 방송통신위원회 담당자 등이 함께해 CISO들이 궁금해 했던 점들을 해소할 수 있는 자리가 됐다.

국내외 기업 정보보호최고책임자(CISO)들의 모임인 한국CISO협의회 최동근 회장은 인사말에서 “최근 우리 협의회에 좋은 일이 두 가지 있었는데, 첫 번째는 사이버공격으로 인한 피해 발생시 CISO 등 정보보호책임자에게 형사상 책임을 묻는 내용을 개정하기 위한 움직임이 국회에서 시작됐다는 것”이며, “두 번째는 지난 7월 10일 개최된 정보보호의 날 기념식에서 협의회가 과학기술정보통신부 장관상을 받았다는 사실”이라고 설명했다.

“협의회가 발족한지 10년이 되어가는 이 시점에서 장관상을 받은 것은 매우 뜻 깊은 일입니다. 이는 이홍섭 초대 회장님과 임종인 전임 회장님을 비롯해 우리 회원들이 긴 시간 함께 해온 게 바탕이 된 것 같습니다. 아울러 100회 포럼이 열리는 2월에는 대대적인 행사도 준비 중에 있습니다. 앞으로도 많은 성원을 부탁드립니다.”

이어 국회에서 CISO의 형사처벌의 부당함을 지적한 더불어민주당 김병관 의원이 참석해 “개인정보보호법 개정안이 올해 안에 마무리가 될 것으로 보이며, 이때 CISO 형사처벌 문제를 함께 해결할 수 있도록 하겠다”고 설명했다.

“보안은 그 중요성에 비해 사회적 인식이나 대우가 부족한 것이 사실입니다. 사내에서의 위상도 낮은 편이구요. 이러한 상황에서 보안책임자의 형사책임은 유능한 인재의 유입을 막는 안타까운 일입니다. 이에 저는 이러한 문제를 해결하는 것은 물론 보안 및 보안전문인력에 대한 인식을 높이고, 나아가 좋은 인재들이 보안 분야에 유입될 수 있도록 노력을 아끼지 않겠습니다.”

비영리법인의 일부 영리목적 사업도 사이버보험 의무가입 대상
‘개인정보보호배상책임보험-정보통신망법 제32조의3에 따른 의무보험’이란 제목으로 강연에 나선 KB손해보험 김민상 과장은 “정보통신망법 개정안 32조에 따라 특정 기준에 부합하는 기업들은 보험에 가입하거나 준비금을 마련해야 한다”고 설명했다.

“정보통신망법 개정안에 따르면 정보통신서비스 제공자 등은 이용자에게 손해를 배상해야 하며, 이를 위해 보험 또는 공제에 가입하거나 준비금을 적립해야 합니다. 그렇지 않으면 2,000만 원 이하의 과태료를 부과받게 됩니다.”

김민상 과장은 기업들이 가장 궁금해 하는 것은 ‘정보통신서비스 제공자 등’이 정확히 어디까지이냐는 것이라고 설명했다. “32조3에 따르면 직전 사업연도의 매출액이 5,000만 원 이상이고, 전년도 말 기준 직전 3개월간 개인정보가 저장되거나 관리되는 이용자수가 일일평균 1,000명 이상일 경우 이에 포함됩니다.”

특히, 김민상 과장은 ‘매출액’은 특정 사업분야가 아닌 해당 기업의 ‘총 매출액’을 말하며, 이용자수는 회원이나 비회원, 탈퇴회원 등 상관없이 개인정보를 보유하고 있는 이용자수가 일일평균 1,000명이상일 경우 해당된다고 설명했다.

비영리법인이 일부 ‘영리 목적의 사업’을 진행해도 해당 조건에 부합되면 역시나 보험을 들거나 준비금을 마련해야 하며, 병원도 성형외과처럼 광고를 통해 고객을 모집할 경우 이 조건에 부합된다고 강조했다.

“의무가입 기업인지 아닌지 확인한 후 해당 기업은 반드시 보험에 가입해야 합니다. 가입할 때는 4가지 사항을 중점적으로 살펴봐야 하는데요, 이용자수와 매출액 규모에 따라 보험 최저금액이 다르기 때문에 이를 확인해야 하고, 기존에 들었던 개인정보 관련 보험이 중복으로 인정받는 지도 확인해야 합니다. 아울러 보험가입과 준비금 적립, 둘 중 하나를 선택한 후 최종적으로 보험사와 보험조건을 협의해야 합니다.”

특히, 신용정보법에 따라 개인정보보호 관련 보험을 들었을 경우 이번 사이버보험 의무대상에 포함될 수 때문에 가입금액을 확인해 사이버보험보다 가입금액이 적을 경우 모자라는 만큼만 추가도 들면 된다고 김민상 과장은 설명했다.

“기존 보험이 개인정보 유출만을 기준으로 삼은 반면, 사이버보험은 유출은 물론 분실, 도난, 위주, 변조, 훼손까지 담보범위가 확대됐습니다. 또한, 사이버보험은 법률상 손해배상금과 손해방지경감비용, 방어비용과 공탁보증보험료까지 보장됩니다. 다만, 임원의 고의 및 범죄, 개인정보 이외의 유출, 신용정보 유출로 인한 경제적 손해는 보상하지 않습니다.”


강연이 끝난 후 열띤 Q&A 시간이 이어졌는데, 특히 기업으로부터 홈페이지나 회원관리 등의 업무를 위탁받은 ‘수탁사(하청)’의 경우 사이버보험 의무가입 대상에 해당되는지에 관해 방송통신위원회 임종철 사무관이 직접 답변에 나서 “수탁사는 사이버보험 대상기업이 아니”라고 명확하게 선을 그었다.

“이번 사이버보험은 무엇보다 실제 피해자인 이용자를 보호하기 위해 기획됐기 때문에 위탁사(원청)만 가입하면 됩니다. 다만 수탁사가 영리를 위한 별도의 서비스를 한다고 하면 그 부분에 대해서는 보험에 가입해야 합니다.”

한편, 이날 발표에 나선 KB손해보험과 함께 컨소시엄을 구성한 삼성화재해상보험과 DB손해보험은 공동약관 외에도 특별약관을 통해 △위기관리 실행비용 △위기관리 컨설팅 비용 △신용정보 유출 등 손해보장 △개인정보보호조치 과징금 보장 등 CISO들이 필요로 하는 내용도 포함시켰다고 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>