# 지난달 미국 최대 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)이 랜섬웨어 공격을 받아 송유관 가동이 약 6일간 중단됐다. 랜섬웨어란 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 후 이를 풀어주는 대가로 금전을 요구하는 사이버공격을 말한다. 공격을 감행한 해커들은 약 49억원어치의 비트코인을 요구해 받아간 후에야 중단했다. 추후에 FBI는 해당 금액을 회수하긴 했지만 범인은 잡을 수 없었다.

# 비슷한 시기에 세계 최대 정육업체 JBS의 미국 법인 JBS USA도 랜섬웨어로 미국 도축장 일부의 운영이 중단되기도 했다. 각 해킹 공격이 일어난 직후 미국에서는 유가와 육류 가격이 인상되기도 했다. JBS USA가 랜섬웨어 공격을 강행한 해커들에게 지불한 금액은 약 123억원 상당의 비트코인이었다.

# 지난 6월 11일 한국과 대만의 맥도날드 배달 서비스를 이용한 고객의 개인정보가 해킹으로 유출되는 사건이 발생했다. 해커들은 한국 및 대만 배달 고객의 이메일, 전화번호 외에 상세주소까지 빼내간 사실이 드러났다. 대만에서는 직원 이름과 연락처까지 드러났고, 미국에서는 영업 관련 연락처와 매장 넓이, 좌석 수 등 정보가 유출된 것으로 나타났다.

코로나19 확산의 영향으로 디지털 경제화가 가속화되면서 사이버보안 위험이 심화되고 있다. 정부기관은 물론 일반기업들도 동시다발적으로 공격받고 있다. 최근 콜로니얼 파이프라인과 JBS 외에도 워싱턴 경찰국, 애플, 아일랜드의 국가 보건 센터 등도 랜섬웨어에 당했다. 보험연구원에 따르면 디지털 경제화가 가속화되는 동시에 이를 목표물로 한 사이버공격이 큰 폭으로 증가함에 따라 지난해 사이버범죄에 따른 글로벌 경제적 비용은 약 1조달러에 육박해 세계 GDP의 1%에 달할 것으로 전망된다.

미국의 경우 산업 전반적으로 사이버공격 빈도가 증가하는 추세지만, 특히 재택근무 확대에 따른 법률, 회계 등의 전문서비스(Professional Services) 산업의 피해가 심화되고 있다. 지난해 북미 사이버보험금 청구 건수 기준으로 전문서비스업은 무려 전체의 32%를 차지했다.

최근에는 전문서비스·기술산업의 사이버공격 피해 비중이 높아지고 있다. 외부세력이 미국 군대, 정보기관, 재무부 등 공공기관 및 포천 500대 기업 다수가 사용하는 보안솔루션 제공업체의 소프트웨어를 해킹한 일명 ‘SolarWinds Hack’ 사건이 대표적이다.

이에 따라 미 바이든 정부는 출범과 동시에 국정 정책방향의 최우선 순위 중 하나로 사이버보안을 강화할 것을 표명했다. 약 90억달러에 달하는 사이버보안 예산을 편성하고 사이버보안 분야 최고 전문가들을 관련 정부기관 수장으로 대거 지명한 것이다.

홍보배 보험연구원 연구원은 “바이든 정부가 사이버보안 정책 강화에 중점을 두는 만큼 보험업계는 사이버보안 시장에서 어떠한 핵심적인 기능을 할 것인지 역할 재정립의 과제가 남아있다”면서 “우리나라도 글로벌 및 미국 사이버공격 동향을 예의주시하는 동시에 국내 위험 발생 가능성 점검 및 보험시장을 통한 대비책 강화 등의 논의가 지속돼야 한다”고 덧붙였다.

▶사이버공격 증가에 보험산업도 쑥 코로나19가 비즈니스 세계의 디지털 혁신을 가속화하는 긍정적 역할과 함께 디지털 자산에 대한 위협을 가속화하는 부정적 결과를 초래하고 있다. 이미 팬데믹 이전부터 사이버위험이 급증한 클라우드 기반 서비스, 모바일 무선 표준인 5G, 딥페이크를 활용한 피싱 공격, 신원 도용 등으로 인한 피해는 더욱 증가 속도가 가팔라지고 있다. 이와 궤를 같이하여 글로벌 회계컨설팅회사 KPMG인터내셔널은 코로나19로 바뀐 세상에서 사이버보안이 기업성장의 가장 큰 위협 요인이 될 것이라는 조사 결과를 발표하기도 했다.

사이버보험(Cyber Insurance)은 컴퓨터나 네트워크 등 사이버보안과 관련된 사고로부터 발생한 당사자와 제3자의 유무형 자산 손실을 담보하는 보험상품을 의미한다. 최근 들어 사이버보험에 대한 중요성을 인식하기 시작한 기업들이 늘어나 보험사들의 신규 먹거리 분야로 꼽히며 성장 기회를 모색하고 있다. 아직까지 사이버위험의 급증에 따른 보험요율 산정과 보상금액 한계 등 보험상품으로서 다양한 어려움이 내재되어 있음에도 불구하고 사이버보험 시장은 가파르게 성장할 것으로 예상된다. KB경영연구소에 따르면 사이버보험 시장 규모는 2020년 78억달러에서 2025년 204달러로 확대될 것으로 전망된다. 국내 시장 역시 급속도로 확산되는 언택트 문화 등으로 인한 사이버위험에 대한 높은 관심과 사이버보험 활성화를 위한 금융 당국의 정책적 지원이 결합되어 시장 성장에 긍정적인 작용을 하고 있다. 금융위원회 역시 지난해 3월 <보험 산업 금융위원회 업무 계획>을 통해 자율주행차, 사이버보험 등 4차 산업혁명 시대를 맞아 새롭게 등장한 위험에 대해 관련 상품이 적시에 공급되도록 지원할 계획이라고 밝히기도 했다. 올해 사이버보험 시장의 성장은 지속될 것으로 전망되지만 홍보배 보험연구원 연구원은 “보험사의 대규모 손실 가능성도 상존하는 상황으로 이에 대비한 위험관리 능력 확충 등 사전 제도를 마련해야 할 것”이라며 “특히 시스템적 사이버위험은 다수의 기업에 대규모 피해를 초래해 보험산업의 인수능력을 초과하는 손해를 발생시킬 가능성이 높기 때문에 이에 대한 정부 및 보험업계의 정책공조 강화는 필수”라고 조언하기도 했다.

  ▶특약보다는 단독형 상품이 유리 최근 사이버보험에 대한 담보가 점차 표준화되면서 많은 회사가 기존 보험 상품에 사이버보험을 특약으로 추가하고 있다. 그럼에도 보장 측면에서는 단독형 사이버보험 상품이 유리하다는 주장이 나왔다. 박준모 KB금융지주 경영연구소 연구원은 “예를 들어 기존 보험 상품에 있는 담보 또는 사이버보험을 특약으로 추가하더라도 단독형 사이버보험 상품에 비해 보장 수준에서 제약이 따를 수 있다”라며 “일반적으로 데이터의 경우 유형자산에 속하지 않으나 재산보험(Property Insurance)에서는 유형자산에 대한 손실만을 담보한다”라고 설명했다. 실제 로이드마켓 등의 책임보험(Liability Insurance) 영역에서도 악의적인 사이버사고에 대해서는 담보 영역에서 제외하기도 한다.

국내 사이버보험 상품을 살펴보면 해외 상품과 비교해 담보별로 큰 차이가 없다. 아직까지 국내에서 담보하지 않는 기업 임원의 법적 책임과 클라우드 컴퓨팅 영역은 필요 시 특약 추가 등의 방법으로 보완 가능하다. 국내에서 사이버보험 상품이라는 용어에는 크게 두 가지 의미가 내포되어 있다. 첫째, 보험사와 재보험사에서 통칭되는 사이버보험으로 사이버 종합보험, 사이버 종합배상보험, 사이버 위기관리보험 등이다. 두 번째는 비보험 업계에서 사이버보험으로 혼용되는 보험으로 개인정보보호배상책임보험, 전자금융거래배상책임보험 등이 있다.

▶개인정보 손해보상책임보장 대상 확대 정부 차원에서 리스크 관리 나서야 사이버위험은 다수의 기업에 대규모 피해를 초래하여 보험산업의 인수능력을 초과하는 손해를 발생시킬 가능성이 높아 이에 대한 정부 및 보험업계의 정책공조 강화가 필수적이라는 목소리가 높아지고 있다. 최근 미국 등 북미 시장에서 집중적으로 발생하고 있지만 우리나라도 글로벌 및 미국 사이버공격 동향을 예의주시하는 동시에 국내 위험 발생 가능성 점검 및 보험시장을 통한 대비책 강화 등의 논의가 지속되어야 한다는 것이다.

최근 예상치 못한 개인정보 유출이 늘어나자 정부당국도 이용자 피해 구제와 기업 손해배상 부담 완화를 위해 기업의 보험·공제 가입 또는 준비금 적립을 의무화한 ‘개인정보 손해배상책임 보장제도(사이버보험)’ 개선에 나섰다. 의무 적용 대상을 확대하고 업종별 단체보험 가입을 촉진하는 등 실효성을 향상시킨다는 계획이다.  

개인정보보호위원회는 지난 6월 9일 전체회의를 열고 ‘개인정보 손해배상책임 보장제도 개선안’을 의결했다고 밝혔다. 이전까지 사이버보험 제도는 지난 2019년 6월부터 전년도 매출액 5000만원 이상, 개인정보 저장·관리 이용자 수 1000명 이상인 정보통신서비스제공자에 대해 적용되고 있다. 그러나 기업의 제도에 대한 인지도와 보험 가입 유인 부족, 과잉 규제 논란 등으로 보험 가입률이 저조한 상황이다.

이런 여건에서 현재 추진 중인 2차 개인정보보호법 개정으로 사이버보험 가입 대상이 ‘정보통신서비스 제공자 등’에서 ‘개인정보처리자’로 확대될 예정이어서 제도 개선 필요성이 커진 상황이다. 먼저 개선안에선 가입 대상을 오프라인 사업자까지 확대함에 따라 매출액, 개인정보 보유 규모 등 가입 기준을 상향하고 면제 대상도 명확히 했다. 제도 활성화를 위해서는 업종과 기능별 단체보험 가입, 관련 제도 홍보 강화를 실시한다. 보험 미가입 업체의 경우 시정명령 후 이를 따르지 않을 경우 과태료를 부과해 보험 가입을 유인할 예정이다. 송상훈 개인정보위 조사조정국장은 “개인정보에 대한 관심과 활용도가 커짐에 따라 개인정보 유출 등의 위험과 함께 기업들의 손해배상 책임도 커지고 있다”며 “기업의 손해배상 책임 부담을 덜고 정보주체에 대해서도 충분한 배상이 이뤄질 수 있도록 전문가와 산업계의 의견을 충분히 들어 제도를 정착시켜 나가겠다”고 밝혔다.

[박지훈 기자]

[본 기사는 매경LUXMEN 제130호 (2021년 7월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]