법정 최소금액 수준 가입 확인

실질 고객 배상 불가능한 금액

미가입 기업 과태료 부과도 전무

업계 “한도 상향·배상 강화” 지적

쿠팡을 포함해 대규모 개인정보 유출 사고를 낸 기업 상당수가 개인정보유출 배상책임보험을 법정 최소 금액인 10억원 수준으로 가입한 것으로 나타났다. 이는 대규모 정보유출사건이 발생해도 기업의 배상책임액수가 크지 않은 탓으로, 법정 한도 상향과 배상 강화가 필요하다는 지적이 나온다.

8일 손보업계에 따르면 쿠팡은 현재 메리츠화재의 개인정보유출 배상책임보험에 10억원 한도로 가입돼 있다. 쿠팡은 개인정보보호법 시행령상 매출액이 800억원을 초과하고 정보주체(고객 등) 수가 100만명 이상인 기업으로서, 최소 10억원 담보 규모의 보험·공제 등에 가입할 의무가 있다.

8일 서울 한 쿠팡 물류센터 앞에 쿠팡카(쿠팡 배송트럭)가 주차돼 있는 모습. 뉴스1

그러나 업계에서는 이 같은 배상책임보험 의무가입 조항의 실효성이 떨어진다는 지적이 지속적으로 나왔다. 쿠팡 사고로 유출된 고객 계정이 3370만개에 달하는 만큼 10억원 수준의 보장액으로는 실질적으로 고객 배상이 어렵다는 것이다.

2300만명의 개인정보가 유출됐던 SK텔레콤도 사건 당시에는 법정 최소 금액인 10억원 규모의 사이버보험에 가입돼 있었다가 지난 10월 1000억원 규모의 사이버보험에 가입을 마쳤다고 밝혔다. 개별 기업 간 계약이라 대부분 가입금액이 공개돼 있지 않지만, 한 업계 관계자는 “사이버보험에 대한 인식이 높지 않다 보니 법정 최저한도 수준으로 가입한 기업이 상당수”라고 설명했다.

업계는 보험 미가입에 대한 적극적인 과태료 부과도 필요하다는 입장이다. 개인정보보호법은 의무보험에 가입하지 않을 경우 시정조치 및 3000만원 이하의 과태료를 부과하도록 하고 있으나, 개인정보보호위원회가 실제 과태료를 처분한 사례는 없다.

개보위는 의무가입 대상 기업 수를 약 8만3000∼38만개로 추정하고 있다. 그러나 올해 6월 말 기준 개인정보유출 배상책임보험을 취급하는 15개사의 해당 상품 가입 건수는 약 7000건으로 가입 대상 수에 한참 못 미친다.

보험연구원의 ‘대규모 개인정보 유출 사고와 시스템적 사이버 리스크’ 보고서에 따르면 2016년 인터파크 개인정보 유출 사고의 최종 배상책임판결액은 소송 참가 고객 대상으로 1인당 10만원 수준에 그쳤다. 저자인 정광민 포항공과대 교수는 “배상책임액이 크지 않아 기업 입장에서 사이버보험을 가입할 유인이 높지 않다”며 “(보험 미가입에 대한) 과징금 강화뿐 아니라 배상책임을 확대해 사이버리스크 관리 실패가 심각한 손실을 초래할 수 있는 환경을 조성할 필요가 있다”고 지적했다.