쿠팡에서 유출된 고객 계정이 3370만개에 이르는 '전 국민급' 사고가 났지만, 회사가 들어둔 개인정보유출 배상책임보험 보장 한도는 법이 정한 최소 수준인 10억원에 그친 것으로 드러났다. 지난 4월 2300만명 규모 유출 사고를 낸 SK텔레콤 역시 당시 가입해 둔 보장 한도가 10억원 수준이었던 사실이 알려지면서 대형 플랫폼·통신사의 사고 규모와 피해자 배상을 뒷받침할 안전판 사이의 괴리가 도마 위에 올랐다.

9일 보험업계에 따르면 쿠팡은 메리츠화재의 개인정보유출 배상책임보험에 가입했으나 보장 한도는 10억원에 불과하다. SK텔레콤도 유출 당시 현대해상의 개인정보유출 배상책임보험에 가입해 있었으나 같은 수준의 보장을 들고 있었던 것으로 알려졌다.

SK텔레콤은 지난 10월 논란 이후 유출·랜섬웨어 등을 포괄하는 1000억원 한도 사이버보험에 추가 가입했지만, 4월 발생한 이번 사고에는 적용되지 않는다. 수천만명이 피해를 본 초대형 사고에서 양사가 준비해 둔 '보험'은 법이 시킨 최소한에 그쳤고, 고액 보장을 미리 갖춘 곳은 거의 없었다는 얘기다.

이 같은 관행은 의무보험 제도 설계의 허점을 드러낸다. 개인정보보호법은 일정 매출·이용자 수를 넘는 정보통신서비스 제공자 등에 개인정보유출 사이버보험 가입을 의무화하면서 기업 규모에 따라 최소 가입금액을 정하고 있다. 하지만 정보주체 100만명 이상, 매출 800억원이 넘는 대기업조차 최소 가입 한도는 10억원에 불과하다.

또한 개인정보보호위원회는 의무보험 가입 대상 기업을 약 8만3000~38만개로 추정하지만, 올해 6월 말 기준 이 상품을 판매하는 15개 손보사의 가입 건수는 약 7000건에 그친다. 가입률로 따지면 2~8% 수준으로 한 자릿수에 불과하다. 사실상 "아예 안 들거나, 들더라도 10억짜리만 든다"는 구조가 굳어진 셈이다.

보험연구원이 최근 발표한 '대규모 개인정보 유출 사고와 시스템적 사이버 리스크' 보고서는 이런 현실을 구조적 문제로 규정한다. 보고서는 하나의 사건이 금융·실물·사회 전반에 광범위한 피해를 유발하는 위험을 '시스템적 리스크'로 정의하고 통신사·쿠팡의 정보 유출 처럼 독과점적 지위를 가진 플랫폼에서 발생한 사고는 특정 기업을 넘어 경제 전체의 불안으로 번질 수 있다고 진단했다. 빅테크·플랫폼이 사실상 사회 인프라가 됐지만 이에 상응하는 보안·규제·보험 장치는 뒤따르지 못했다는 것.

아울러 국내 사이버보험 시장이 좀처럼 성장하지 못한 이유에 대해 보고서는 "개인정보 유출로 인한 배상책임액이 크지 않아 기업 입장에서 사이버보험 가입 유인이 낮다"고 짚는다. 과징금 상한은 개정법 시행으로 전체 매출액의 3%까지 대폭 강화됐지만 실제 피해자에게 돌아가는 민사 배상액이 낮다 보니, 기업은 과징금을 '규제 리스크'로만 인식할 뿐 "보험료를 들이면서까지 대비해야 할 수준"으로는 체감하지 못한다는 분석이다.

이런 이유로 손해보험업계와 손보협회 등은 대규모 정보 보유 기업의 최소 보험 가입금액을 대폭 올려야 한다는 의견을 곧 개인정보보호위원회에 공식 건의할 계획이다. 예를 들어 정보주체 수 1000만명 이상이거나 매출 10조원을 넘는 플랫폼·통신사의 경우 개인정보유출 배상책임보험 최소 가입 한도를 현행 10억원에서 1000억원 수준으로 높이고, 지금까지 단 한 번도 부과된 적이 없는 의무보험 미가입 과태료도 실제로 집행해야 한다는 주장이다.

앞선 보고서에서 정광민 포항공과대학교 교수는 "개인정보 유출로 인해 발생하는 배상책임액이 크지 않아 기업 입장에서 사이버보험을 적극적으로 가입할 유인이 높지 않다"고 지적했다.

그러면서 "올해부터 개인정보보호법 과징금 기준이 매출액의 3%까지 상향됐지만 피해 고객에 대한 실질적 배상액은 여전히 매우 제한적"이라며 "이처럼 민사배상 리스크가 낮은 구조가 사이버보험 가입 유인을 저해하고 있다"고 분석했다.