최근 쿠팡과 주요 통신사 등에서 발생한 대규모 개인정보 유출 사고가 사회 전반에 충격을 주고 있는 가운데, 기업들이 사이버 보험에 가입할 유인이 부족하다는 지적이 제기됐다. 사이버 보안 사고가 반복되고 있음에도 기업 대응이 미흡하다는 비판과 함께, 제도적 보완이 요구된다는 목소리가 커지고 있다.

정광민 포항공과대학교 교수는 12월 7일 보험연구원을 통해 발표한 보고서에서, 최근의 유출 사고들을 일종의 '시스템적 사이버 리스크'로 규정했다. 이는 정보통신과 디지털 플랫폼 기업들이 사실상 사회 기반시설로 기능하고 있다는 점을 감안할 때, 한 곳의 보안 실패가 전 산업과 사회 전체로 확산될 수 있다는 의미다. 특히 쿠팡과 같은 대형 전자상거래 기업의 보안 사고는 피싱, 스미싱 등 사이버 공격을 더욱 정교하게 만들고, 명의 도용·계정 탈취 등의 추가 피해로 이어질 수 있다고 설명했다.

하지만 이처럼 심각한 보안 위협이 잇따르더라도 국내 기업들은 사이버 보험에 적극 나서지 않고 있다. 이는 기업들이 여전히 사이버 리스크를 과소평가하거나, 법적 배상금이 낮아 실질 피해에 대한 책임이 제한적이기 때문이다. 실제로 2014년 카드사 정보 유출, 2016년 인터파크 사건 당시 법원이 인정한 피해자 1인당 배상액은 평균 10만 원 수준이었다. 올해부터 개인정보보호법 개정으로 인해 최대 과징금 기준이 기업 매출의 3%로 강화됐지만, 실질적인 피해 배상엔 큰 변화가 없다는 지적이다.

이 같은 상황으로 인해 사이버 보험 시장의 성장도 정체돼 있는 상태다. 보험업계 입장에서도 사이버 리스크를 정밀하게 평가하고 가격에 반영할 수 있는 보안 분석 능력과 언더라이팅(위험 분석 및 보험 인수 결정) 역량이 부족한 실정이다.

정 교수는 보고서에서 기업, 보험사, 정부가 공동 대응 체계를 구축할 필요가 있다고 강조했다. 구체적으로, 기업은 전사적인 리스크 관리 체계를 강화하고, 보험사는 사이버 보안 전문성을 확보해야 한다고 언급했다. 정부는 사이버 사고 발생 시 공시 기준을 명확히 하고, 징벌적 배상제도 및 공공-민간 협력 보험프로그램을 도입하는 등 정책적 기반을 마련할 필요가 있다고 조언했다. 특히 금융당국은 가상 시나리오를 통한 ‘사이버 리스크 스트레스 테스트’를 도입함으로써 금융 시스템의 취약성을 사전에 진단할 수 있어야 한다고 강조했다.

이 같은 흐름은 앞으로 빅테크와 디지털 플랫폼 기업의 사회적 책임이 강화되는 방향으로 이어질 가능성이 크다. 동시에, 사이버 사고의 여파가 금융 안정성과 연결되는 만큼, 국가 차원의 규제 정책 및 보험제도 정비가 병행돼야 할 것으로 보인다.