과징금만 세고 민사 배상액은 쥐꼬리…“소송 더 싸”
보험硏 “사이버 리스크 스트레스테스트 도입해야”
제도 환경 변화 필요…징벌적 배상제 등 유인책 필요
 |
| 단순 정보 유출을 넘어 금융·사회 인프라를 위협하는 ‘시스템적 사이버 리스크’가 급증하고 있다. 전문가들은 징벌적 배상제 도입 등 실질적인 대응책 마련이 시급하다고 경고한다. [게티이미지뱅크] |
[헤럴드경제=박성준 기자] 최근 쿠팡 등 빅테크와 플랫폼 기업을 겨냥한 사이버 공격이 급증하면서 그 피해가 단순한 정보 유출을 넘어 사회 인프라를 마비시키는 ‘시스템 리스크’로 부상하고 있다.
하지만 사고가 터져도 기업이 물어줘야 할 배상액은 피해자 1인당 10만원 수준에 불과하다. 기업 입장에선 막대한 비용이 드는 사이버보험에 굳이 가입할 이유가 없는 셈이다. 전문가들은 이 같은 ‘구조적 한계’가 국내 사이버 보안 시장을 위축시키고 있다고 지적한다.
7일 보험연구원이 발간한 ‘KIRI 리포트’의 ‘대규모 개인정보 유출 사고와 시스템적 사이버 리스크’ 보고서에 따르면 코로나19 이후 디지털 전환과 거대언어모델(LLM)의 확산으로 사이버 공격의 빈도와 강도가 눈에 띄게 늘었다. 특히 빅테크와 대형 플랫폼 기업은 사실상 ‘사회 인프라’ 역할하고 있어, 이들의 보안 실패는 금융 시스템과 실물 경제 전반에 충격을 주는 ‘시스템적 사이버 리스크’의 특성을 보인다.
보고서를 작성한 정광민 포항공과대학교 교수는 “하나의 사건이 시스템 내 다수의 경제 주체에게 광범위한 피해를 유발하는 것이 시스템적 리스크”라며 “빅테크 기업의 사고는 2008년 글로벌 금융위기 당시 금융 시스템 붕괴와 유사한 구조적 충격을 초래할 수 있다”고 경고했다.
문제는 위험은 커지고 있지만, 이를 대비할 안전장치인 사이버보험 시장은 국내에서 맥을 못 추고 있다는 점이다. 연구원은 그 가장 큰 원인으로 기형적인 법적 책임 구조를 꼽았다.
한국은 개인정보보호법 개정으로 과징금 한도가 매출액의 3%까지 상향되는 등 행정적 제재 수위는 높다. 그러나 피해를 본 소비자에 대한 민사상 손해배상 책임은 여전히 미미한 수준이다. 실제로 2014년 발생한 카드사 고객 개인정보 유출 사고와 2016년 인터파크 개인정보 유출 사고 당시, 법원이 인정한 최종 배상책임 판결액은 소송에 참여한 고객 1인당 10만 원 수준에 그쳤다.
정 교수는 “과징금 부담은 크지만 피해 고객에 대한 실질적 보상액인 배상책임액은 매우 제한적”이라며 “기업 입장에서는 ‘민사 리스크’가 낮아 사이버보험 가입 유인이 충분히 형성되지 않는 구조적 문제가 있다”고 분석했다. 이는 기업 경영진이 사이버 보안을 투자가 아닌 매몰 비용으로 인식하게 만드는 원인이 된다.
반면 미국은 징벌적 배상책임 제도가 활성화돼 있어 사이버 사고 발생 시 천문학적인 배상금을 물어야 한다. 2017년 미국 신용평가사 에퀴팩스의 개인정보 유출 사고 당시 배상책임 판결액은 무려 수천억원에 달했다. 이런 거액의 배상 리스크는 기업의 유동성을 압박해 파산까지 이어질 수 있어, 기업들이 자발적으로 보험에 가입하게 만드는 강력한 동기가 되고 있다.
정 교수는 국내 사이버 리스크 관리 체계를 강화하기 위해 금융당국의 적극적인 개입이 필요하다고 제언했다. 우선 금융당국 차원에서는 극단적인 사이버 사고 시나리오를 가정한 ‘사이버 리스크 스트레스 테스트’ 도입이 시급하다는 지적이다. 은행 건전성을 평가하듯, 빅테크나 금융기관의 사이버 사고가 발생했을 때 금융 안정성에 미칠 충격을 정량적으로 평가하고 관리해야 한다는 것이다.
또한 기업들이 사이버 보안에 투자하도록 유도하기 위해 제도적 환경을 바꿔야 한다는 목소리도 높다. 정 교수는 “기업의 개인정보 보호에 대한 안일한 인식을 개선하려면 과징금뿐만 아니라 배상책임을 확대해, 보안 실패가 기업 가치에 심각한 손실을 줄 수 있다는 환경을 조성해야 한다”고 강조했다. 징벌적 배상책임 제도 도입과 정보보안 공시 강화가 대표적인 방안이다.
이와 함께 민간 보험사가 감당하기 힘든 ‘국가 지원 사이버 테러’ 등의 거대 위험에 대해서는 정부가 참여하는 ‘공사협력(PPP) 보험 프로그램’ 도입도 검토 과제로 제시됐다. 미국 재무부가 테러위험보험프로그램(TRIP)에 사이버 배상책임을 포함하거나, 영국이 테러 재보험 기구인 ‘풀리(Pool Re)’를 통해 사이버 테러까지 보장 범위를 확대한 사례가 대안으로 꼽힌다.
