[김수연기자] 현대캐피탈과 농협을 비롯, 해킹으로 인한 개인정보 유출 사고가 이어지는 가운데 개인정보보호를 테마로 한 보험 상품이 등장할 전망이다.
9일 지식정보보안산업협회(KISIA)와 관련업계에 따르면 최근 한 대형 보험사가 '개인정보보호 유출에 따른 위험을 관리해 준다'는 내용으로 보험 상품을 구상하고 이를 관련업계 및 협회에 제안하는 등 영업에 착수한 것으로 알려졌다.
KISIA 전략기획팀 정길원 부장은 "최근 모 보험사로부터 개인정보보호 유출 관련 보험 상품에 대해 소개받고 이를 회원사에 공급하자는 제안을 받은 바 있다"고 밝히고 "그러나 아직 검토 단계일 뿐 어떤한 결정도 내려지지는 않았다"고 말했다.
제안받은 보험상품은 개인정보 유출사고가 발생하여 이에 대한 귀책사유가 보안 솔루션 및 서비스 제공업체들에게 돌아가 일정 규모의 금전적 배상을 해야 할 경우 이를 보험으로 처리해 주는 것이 골자다.
◆ 업계 이미지에 부정적 VS 보험 수요 늘 것
'개인정보보호 배상'을 골자로 보험상품이 출현한다는 소식에 보안업체들의 의견은 분분하다.
보험 상품의 수요가 늘 것이라는 낙관론부터 이같은 내용의 보험이 개발된다는 것 자체가 보안업계에 대한 이미지에 부정적 영향을 미칠 것이라는 비관론까지 다양하다.
특히 일부 보안업계 관계자들은 '보험상품이 실효성을 가질 수 있을지에 대해' 의문을 제기하고 "소수 몇몇 업체를 제외하고 대부분의 중소 보안 업체들은 보험료 부담에 선뜻 가입하기 어려울 것"으로 예측했다. 사고 발생시, 보안 서비스를 받는 업체와 제공하는 업체간 책임 소재를 완벽히 따지는 것이 불가능하다는 이유에서다.
지금처럼 APT 공격이 횡행하는 상황에서는 보안업체가 제공하는 솔루션이나 서비스에 문제가 있다기 보다 내부 직원의 부주의가 문제가 되는 경우가 많아 보안업체가 직접 사고의 책임을 지지 않기 때문이다. 또한 동종업계에서는 서로 책임을 묻지 않는다는 국내 보안업계의 정서에도 보험상품의 성격이 맞지 않는다는 지적도 있다.
한재호 A3 시큐리티 대표는 "소수 몇몇 업체를 제외하고는 국내 보안업체들이 중소규모라 보험료를 낼 수 있는 여력이 안 된다"며 시장 형성조차 잘 되지 않을 것이라는 의견을 제시했다.
한 대표는 "개인정보유출의 경우 손해배상액이 몇 백억에서 몇 조까지 갈 수 있어 보험회사들이 보안업체들로부터 1조 5천 정도는 받아야 보험 처리도 하고, 이익도 남길 수 있는데 국내에는 그 비용을 감당할 업체가 없다"며 "시장 형성도 어려울 것"이라고 예측했다.
보안관제 서비스 및 솔루션을 제공하는 한 보안업체 관계자는 KISIA 측에서 보험상품 개발에 대한 제안을 받아 검토한다는 것 자체에 부정적 입장을 표했다.
그는 "보안업체는 보안사고를 최대한 막아야 하는 곳인데 이러한 보험에 가입한다는 것은 도의적으로 옳지 않다"고 설명하고 "보안업체들이 사고가 날 것에 대비해서 보험을 든다는 것 자체가 어불성설이며 이는 그만큼 기술에 자신감이 없다는 이야기"라고 단언했다.
반대로 개인정보 유출에 대비한 보험을 필요로 하는 보안업체가 많아질 것이라는 예측도 있다.
안철수연구소 황미경 부장은 "한 번도 보험금을 받아서 쓴 적은 없지만 안연구소는 일에 대비해 이와 비슷한 보험을 10년 가까이 계속 들어오고 있다"며 "안철수연구소의 서비스를 받는 곳에서 보안사고가 발생했을 때, 우리가 배상해야 하는 부분을 보험으로 처리해 주는 상품"이라고 설명했다.
정보보안 역시 일반적인 천재지변과 비슷한 하나의 리스크 관리 영역이며, 그렇다 보니 보안 서비스를 제공하는 보안업체는 손해배상의 부담을 줄이기 위한 보험을 필요로 할 것이라는 설명이다.
오치영 지란지교소프트 대표는 연매출 100억 이상 규모의 중견 보안업체의 경우 개인정보유출 사고에 대비한 보험 상품을 환영할 것으로 입장을 정리했다.
오 대표는 "연매출 100억 이하인 곳은 해당 사항이 없을 것 같고 100억 이상 되는 곳은 만일의 사고에 대비하는 차원에서 일 년에 얼마 정도쯤은 보험료를 지불할 가치가 있다고 생각할듯 하다"고 말했다.
◆ "귀책사유 정확히 따질 수 있을까"
실효성에 대해서는 부정적인 의견이 지배적이다.
정보유출 솔루션 전문업체의 한 관계자는 "대부분의 고객사들이 여러개의 보안 솔루션을 쓰는데, 사고 원인이 어떤 솔루션 때문에 잘못된 것인지, 아니면 고객사의 직원 교육이 문제인지 정확히 따지기가 어렵기 때문에 보안 부문에서는 보험이라는 게 실효성을 갖지 못할 것"이라고 전했다.
이 회사는 최근 모 보험사로부터 "개인정보보호법에 맞게 보험 상품을 커스터마이징해 줄테니 도입해 보라"는 제안을 받기도 했다.
안철수연구소 측은 시장 형성이 안 되 있는 상태에서 적정 보험료율을 정하는 것이 어려울 것이라는 점, 물리적인 환경이 아닌 사이버 상에서 벌어진 사고에 대한 손실액을 정확히 추산하기 어려운 점 등 때문에 당장은 개인정보 유출 관련 상품을 개발하는 것 자체가 어려울 수 있다고 분석했다.
개인정보유출 사고 발생이라는 이슈를 호재로 보험상품까지 등장했지만 성공 여부는 좀 더 지켜봐야 할 전망이다.
김수연기자 newsyouth@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기