국내 정보보호 보험시장 활성화 방안에 관한 정책제언 · 정책제언 focus 1...

Internet & Security Focus 2013 7월호6

FOCUS

국내 정보보호 보험시장 활성화 방안에 관한

정책제언

FOCUS 1

배병환* 민경식**

* 한국인터넷진흥원 정책기획팀 주임연구원([email protected])

** 한국인터넷진흥원 정책기획팀 경제학박사/수석이코노미스트([email protected])

Ⅰ. 서론

Ⅱ. 정보보호 보험의 등장 배경 및 필요성

1. 정보보호 보험의 등장 배경

2. 정보보호 보험의 필요성

Ⅲ. 해외 정보보호 보험시장 현황

1. 미국 정보보호 보험시장

2. 일본 정보보호 보험시장

3. 유럽 정보보호 보험시장

Ⅳ. 국내 정보보호 보험시장 현황

1. 국내 정보보호 보험시장 개요

2. 국내 정보보호 보험 상품

Ⅴ 정보보호 보험시장 활성화를 위한 제언

해킹, APT(지능형지속위협)공격 등 사이버 공격으로 인한 기업들의 내부기밀 및 개인정보 유출

등의 피해사고가 증가함에 따라 사이버 위협에 대한 리스크 분산 효과가 큰 정보보호 보험의

중요성이 커지고 있다. 하지만 국내의 경우, 사전연구 부족 등 시장 육성을 위한 기반이 제대로

마련되어 있지 않아 정보보호 보험 시장 활성화가 이루어지지 않고 있는 상황이다.

이에 본고에서는 정보보호 보험의 등장 배경과 필요성, 국내외 정보보호 보험시장 현황을

살펴보고, 이를 통해 정보보호 보험시장 활성화를 위한 방안을 모색해 보고자 한다.

Internet & Security Focus 2013 7월호 7

FOCUS

Ⅰ. 서론

최근 DDoS, APT(지능형지속위협) 공격 등 사이버 위협이 복잡・지능화됨에 따라 고객정보를

비롯하여 기업내 기밀 데이터 유출과 같은 사이버 보안 사고가 연이어 발생하고 있다. 2008년

옥션의 개인정보 유출사건을 시작으로, 2011년 SK커뮤니케이션즈, 2012년 KT 등 사이버

공격으로 인한 피해기업이 매년 속출하고 있다. 현재 개인정보 유출 사고를 경험한 이용자들은

피해기업을 대상으로 대규모 집단 손해배상 청구소송을 진행 중에 있으며, 특히 올해 2월

SK커뮤니케이션즈의 경우1), 법원으로부터 개인정보 유출 피해자들에게 1인당 20만 원의

위자료를 지급하라는 판결을 받아 약 5억 7,000만 원의 배상금액이 발생하기도 했다. 만약

3,500만 명의 개인정보 유출 피해자 전원이 소송을 진행했다면 약 7조 원의 위자료를 지급할

수도 있었던 큰 사건이었다.

이처럼 사이버 공격으로 인한 피해는 기업의 존폐를 결정할 정도로 막대한 금전손실을 줄 수

있는 상황이 되고 있다. 또한, 피해기업들의 신뢰저하와 함께 영업매출 감소로 이어지는

직접적인 피해와 더불어 정보유출 피해자들의 정보를 활용한 보이스피싱, 스팸메일 발송 등의

2차 피해까지 고려한다면 피해비용은 천문학적 수준에 이를 것으로 판단된다.

잠재적 위협에 따른 피해를 분산하고자 만들어진 제도가 보험이다. 그리고 이러한 보험은

사이버 위협의 특성상 리스크를 완전히 제거하지 못하는 기업들의 피해부담을 덜어주는 데 큰

역할을 할 수 있다. 1990년대 후반부터 미국을 시작으로 주요 선진국에서는 사이버 공격으로

인한 피해발생의 위험을 대비한 정보보호 보험 시장이 형성되어, 정보보호 서비스 산업의

중요한 부분을 차지하고 있다. 하지만 국내의 경우, 기업들의 정보보호 보험 필요성에 대한 인식

부족으로 인한 정보보호 보험수요 저조2)로 관련 보험시장이 활성화되지 못하고 있는 것이

현실이며, 명확한 피해산정 기준 등 정보보호 보험 시장 육성을 위한 기반이 전무한 상태이다.

정보보호 보험3)이란 해킹・디도스・시스템장애 등 사이버 침해사고로 발생한 유・무형의

피해에 대한 보상 및 정보시스템의 파손, 데이터의 멸실 등에 따른 손해, 정보 유출 등에 따른

제3자에 대한 배상책임 보장을 목적으로 하는 보험으로 정의할 수 있다. 향후 사이버 공격

사고의 증가와 함께 정보보호 보험의 중요성이 더욱더 커질 것으로 예상된다. 관련 연구를

1) 2011년 7월에 발생한 네이트・싸이월드 해킹사건은 중국에 거주하는 것으로 추정되는 해커가 SK커뮤니케이션즈

서버에 침입해 회원 개인정보 3,495만4,887건을 유출한 역대 최대 규모의 개인정보 유출사고다.

2) 이데일리, “대형 정보유출사고에도 보험가입은 저조”, 2012.8.10자 보도.

3) 그 밖에도 「네트워크ㆍ정보 보호 보험」, 「사이버 보험」, 「해커 보험」 등 다양한 명칭이 사용되고 있다.


FOCUS

살펴보면, 보험개발원(2012)과 보험연구원(2012) 자료가 유일한 국내 연구자료로 이 분야에

대한 연구도 시급한 상황이다. 이에 본고에서는 정보보호 보험의 등장 배경과 필요성을

살펴보고 비교적 정보보호 보험시장이 활성화 되어있는 미국, 일본 등 주요 선진국 현황을 통해

국내 정보보호 보험시장 활성화를 위한 방안을 모색해 보겠다.

Ⅱ. 정보보호 보험의 등장 배경 및 필요성

1. 정보보호 보험의 등장 배경

역사가 긴 보험업계에 있어 정보보호 보험은 비교적 최근에 등장한 보험으로, 1990년대

후반에 등장했다. 당시 기업은 고객 정보나 기업기밀 정보 등 대량의 데이터를 전자적으로

관리하게 되었고, 인터넷을 상업수단으로 널리 활용함에 따라 각종 사고나 범죄 등에 의한

금전적 손실에 대해 보험과 같은 보호책을 필요로 하였다. 하지만 기존의 보험으로는 인터넷

공간에서 발생하는 사고에 대비하기 위해 불충분한 점이 많았고, 이 때문에 정보보호를

대상으로 하는 특화된 보험의 필요성이 제기됨에 따라 정보보호 보험이 개발되기에 이른다.

재보험회사 스위스 리(Swiss Re)는 2000년에 발표한 보고서「 e-비즈니스가 보험 업계에

미치는 영향： 변혁에 대한 압력과 찬스(The impact of e-business on the insurance industry:

Pressure to adapt. chance to reinvent)」에서 “e-비즈니스에 수반하는 리스크의 특징과 새로운

타입의 보험(정보보호 보험)이 필요하다”고 지적하고, e-비즈니스에 수반하는 리스크를 다음의

4가지로 정의했다.

<표 1> e-비즈니스에 수반하는 리스크 종류

종류 내용

기술적 리스크 - e-비즈니스 기술 성장에 따른 기술적 결함

(정전, 시스템 불안, 바이러스 감염이나 해커의 공격 등)

배상 책임에 관한 리스크

- e-비즈니스로 인해, 배상 책임의 리스크 증가

・인터넷을 통해 발생하는 여러 문제에 대해 인터넷은 국경이 없다는 특성을 고려해

각국의 다른 법률에 대응할 필요가 있음 ※ 특히 소비자보호에 관한 법률 등은 국가에 따라 다양함

・개인정보의 보호는 한층 더 주의할 필요가 있음

(소비자의 신뢰를 잃는 것 외에 배상 책임이 거론될 가능성도 있음)

신용 및 재정면의

정보보호에 관한 리스크 - 기업간 전자상거래에서 발생할 수 있는 리스크

사업상의 리스크 - 아웃소싱이 진행됨에 따라 발생하는 리스크


FOCUS

2. 정보보호 보험의 필요성

최근 사이버 공격의 특징은 특정 목적을 위하여 일정한 대상을 지속적으로 공격하는 APT

공격이 주를 이루고 있으며, 이러한 APT 공격은 2012년 대비 42%나 증가4)하여 기업들에게

막대한 피해를 입히고 있다. 또한 지난 2010년 시만텍은「 핵심 기반시설 보호 현황(Critical

Infrastructure Protection Survey, CIP)」 보고서를 통해 국내기업 100개사 등 전 세계 1,580여 개

기업의 53%가 지난 5년간 평균 10번의 사이버 공격을 받았으며, 평균 피해규모는 약 9억

8,000만 원에 달한다고 밝혔다.

사이버 공격으로 인한 개인정보유출 사건도 지속적으로 증가하고 있다. 보험개발원은

우리나라 개인정보유출사고가 지난 2011년 5,030만 명, 2012년 1,292만 명으로 연평균 3,160만

명에 이른다고 밝혔다.5) 이렇게 유출된 개인정보는 개인명의도용 등을 통한 2차 피해가

발생되고, 이러한 2차 피해까지 고려할 경우 막대한 피해비용이 발생할 것으로 예상한다.

실제로 2008년 한국인터넷진흥원은 개인정보 유출피해로 2006년 기준 한해 1조 3천억 원의

피해액이 발생했다고 밝힌 바가 있다.6)

<표 2> 개인정보유출사고사례

일시 기업 유출된 회원수 내용

2008년 1월 옥션 1,800만명 해킹사고

2008년 4월하나로텔레콤

(현 SK브로드밴드)600만명 내부유출

2008년 9월 GS칼텍스 1,125만명 내부유출

2011년 7월 SK컴즈 3,500만명 해킹사고

2011년 11월 넥슨 1,320만명 해킹사고

2012년 5월 EBS 400만명 해킹사고

2012년 7월 KT 870만명 해킹사고

2013년 6월 청와대 10만명 해킹사고

출처 : 서울경제, “정보유출 피해배상 못받았지만 개인정보관리 경각심 일깨웠다”, 2013.5.13자 보도기사 재구성

정보보호의 특성상 사이버 공격으로 인한 피해액을 정확히 산정한다는 것은 그리 쉬운 일이

아니다. 사이버 공격으로 발생하는 피해비용을 크게 직접비용과 간접비용으로 구분하여 다음과

같이 분류할 수 있다.

4) 파이낸셜뉴스, “지난해 사이버표적공격 42% 증가..사이버 공격 빠르게 진화”, 2013.04.17자 보도.

5) 조선비즈, “보험개발원, 개인정보보호 보험수요급증 대비 상품개발해야”, 2013.01.31자 보도.

6) 뉴스웨이, “[국감]정보보호 피해액 한해 3조원, 정보보호전문가 346명 뿐”, 2008.10.14자 보도.


FOCUS

<그림 1> 개인정보 침해사고 피해액의 분류

출처 : 한국인터넷진흥원(2009), “07년도 개인정보 침해사고로 인한 경제적 피해규모 분석”

직접비용의 경우, 사이버 침해사고로 인한 사고 공지 비용7), 자문비용, 콜센터 운영비용8),

보상서비스 제공 비용 등의 침해사고 대응비용과 과태료 등의 법적책임 비용을 포함하며,

간접비용의 경우, 침해방지 시스템 도입 및 운영비용 등의 침해사고 예방비용과 사고에 따른

기업 이미지 손상, 주가 하락 등의 무형자산 손실비용을 포함한다.

그러나 개인정보유출 피해액을 정량적으로 산출하기 위해 피해액의 직접산출이 가능한

직접비용을 중심으로 고려할 뿐 기업 이미지 손상에 따른 브랜드 가치하락 등 계량화가 어려운

무형자산 손실비용과 고객의 신뢰도 측정비용, 시스템 보완 및 교체비용 등 침해사고 이후에

소요되는 침해사고 예방비용 등의 간접비용은 제외한 체 피해액을 산출하고 있어 정확도가

떨어지는 문제가 발생하고 있다. 이러한 문제점은 결국 개인정보 유출로 인한 개인별

피해보상액과 기업들의 피해복구 비용의 정화한 산출을 어렵게 함으로써 보험사들의 정보보호

보험 상품 개발이나 사이버 침해사고 관련 소송에 따른 손해배상 판결에 영향을 미치는

문제점을 유발한다.9)

7) 우편 및 이메일, 웹사이트 신문 등의 공지비용.

8) 법률 및 회계 자문, 콜센터 직원의 시간당 임금 기준으로 산출.

9) 예를들어, GS칼텍스를 대상으로한 개인정보유출 손해배상 소송에 대해 대법원은 "새어나간 정보가 성명, 주민등록번호,

전화번호 등 개인 식별 정보일 뿐 경제적 이익을 침해할 정보에 해당하지 않는다"며 피해자들의 손해배상 소송을

기각했고, 특히 개인식별 정보가 피해자에게 금전적 피해를 입혔는지에 대해 입증되지 않는다는 결론을 내린바 있다.

사이버 침해사고 피해액

직접비용

1차 분류

명시적비용

2차 분류

잠재적비용

명시적비용

잠재적비용

침해사고

대응비용

피해 요소

법적책임 비용

침해사고

예방비용

무형자산

손실비용

침해사고 공포비용

법적 대응 준비비용

콜센터 운영비용

비해보상 비용

(과태료 등)

피해 항목

침해방지 시스템 도입

브랜드 가치 하락

주가 하락

간접비용


FOCUS

<표 3> 개인정보유출사고 위자료 금액

구분 유출정보 기업과실 위자료

옥션 성명, 주소, 결제정보, 주민번호 과실없음 없음

다음 메일내용 과실없음 없음

GS칼텍스 성명, 주소, 이메일 과실없음 없음

네이트 성명, 아이디, 비밀번호, 주민등록번호, 연락처 과실있음 1인당 20만원

출처 : 차건상(2011), 「개인정보 유출에 따른 손해배상액 산정기준에 관한 연구」, 재구성

2013년 7월 미국 싱크탱크 국제전략문제연구소(CSIS)는「 사이버 범죄와 사이버 스파이

행위의 경제적 영향(The Economic Impact of Cybercrime and Cyber Espionage)」 보고서를

통해 미국 경제가 사이버범죄로 인해 연간 111조 원의 손실이 발생하고 있으며, 이러한 피해는

연간 50만 명의 일자리가 없어지는 피해 규모와 같다고 밝혔다. 이처럼 사이버 공격이 개인과

기업을 넘어 국가 차원의 대규모 피해를 양산하고 있는 현실을 감안할 때 정보보호 보험의

역할이 그 어느 때보다 중요한 시점이다.

Ⅲ. 해외 정보보호 보험시장 현황

1. 미국 정보보호 보험시장

미국의 정보보호 보험시장 규모는 2011년 연간 보험료 기준 8억 달러(2010년 6억 달러)로

추산10)되고 있으며, 2003년 개인정보유출고지법(Data Breach Notification Law)을 도입한

이후부터 보험시장의 급속한 성장이 시작됐다. 특히 개인정보유출고지법 내 사업자들의

정보유출시 통지의무조항으로 인해 법 시행 이후 개인정보유출사고 통계가 급격히

증가하였으며, 이중 실제 사고가 발생한 기업의 경우 주가가 크게 하락하는 사태가 발생하기도

했다.11)

현재 정보보호 보험의 구체적인 보상 내용은 보험회사에 따라 각기 다르지만, 일반적으로

다음과 같은 내용이 정보보호 보험의 보상범위가 되고 있다.

10) BRC(2011), “THE BETTERLY REPORT, CYBER/PRIVACY/MEDIA LIABILITY MARKET SURVEY-2011”.

11) 2009년 3월 결제대행업체 Heartland Payment Systems의 경우, 개인정보유출로 사건발생 당시 14달러였던 주가가

4달러까지 하락.


FOCUS

<표 4> 정보보호 보험 대상

범위 내용

데이터 손실이나

파손

바이러스, 악성코드, 트로이목마 등의 사이버 공격으로 기업이 보유하고 있는 개인정보 및

데이터 유출 피해액

사업 방해 사이버 공격으로 발생한 사업 운영 피해액 및 관련 조사를 위한 경비

홍보활동 사이버 공격 피해기업의 이미지 개선을 위한 홍보비용

배상책임개인정보의 유출, 지적 재산의 침해 등을 이유로 소송에서 배상 책임이 거론되었을 경우 발생

하는 비용

출처 : 미국 보험사 상품을 바탕으로 정보보호 보험 대상을 재구성

이외에도 피해기업이 해커 등으로부터 협박을 받았을 경우 합의를 위해 필요한 합의금 등

기업들이 사이버 공격을 받으면서 발생하는 다양한 상황에 대한 보상을 마련하고 있다.

정보보호 보험의 보상은 크게 당사자(first party) 리스크와 제3자(third party) 리스크로

구분해서 적용된다. 당사자 리스크란, 기밀 정보나 고객 정보의 절도, 피보험자

자산(소프트웨어, 하드웨어, 데이터 등)의 파손, 해커로부터의 협박 등에 의한 피보험자

리스크를 가리킨다. 반면, 제3자 리스크란, 피보험자의 데미지가 직접적 또는 간접적으로

제3자에게 피해를 끼쳤을 경우 발생하는 리스크12)를 의미한다.

현재 미국에서는 컴퓨터 관련 직접적인 손해 외에 개인정보 유출, 사생활 침해 등으로

발생하는 배상책임을 보장하는 인터넷배상책임보험(Internet Liability Insurance)과 네트워크

시큐리티 보험(Network Security Insurance) 상품 등이 운영되고 있다. 구체적인 보험상품으로는

CNA(Continental National American Group)보험사의 CNA 넷프로텍트(NetProtect), CHUBB

보험사(Chubb Group of Insurance Companies)의 사이버시큐리티(Cyber Security), AIG 보험사의

사이버에지(CyberEdge), 필라델피아 보험사(Philadelphia Insurance Companies)의 사이버시큐리티

배상책임 보험(Cyber Security Liability) 등 다양한 상품이 판매 중에 있다.

1) CNA(Continental National American Group)보험사

2007년 1월 미국 손해보험사 CNA는 네트워크 보안 관련 보험상품 넷프로텍트(NetProtect)시리즈13)를

출시했다. 금융, 제조, 통신, 기술 등 다양한 분야에서 연 매출 15억 달러 이상의 대형 사업자만을

가입대상으로 하고 있는 대기업 대상 상품 넷프로텍트와 연 매출 1억 달러 이하의 사업자만을

12) 컴퓨터 바이러스가 제삼자에게 전염되어 버렸을 경우, 해커 공격으로 인해 피보험자의 배달 시스템이 정체되어,

계약대로 상품을 배달할 수 없었던 경우, 피보험자의 웹 사이트에 저작권 침해 등의 콘텐츠가 포함되어 있었을 경우

발생하는 배상 책임 등.

13) 넷프로텍트 상품 시리즈는 미국 내 서비스 제공으로 한정하고 있다.


FOCUS

가입대상으로 하는 중소기업 대상 상품 넷프로텍트 이센셜(NetProtect Essential)로 구분해

판매하고 있다14). 보험 당사자 및 제3자 모두 보험적용 대상자이며 넷프로텍트와 넷프로텍트

이센셜 상품의 경우, 각각 1,000만 달러와 200만 달러의 보상한도를 가지고 있다.

<표 5> CNA 보험상품

대상 보상범위 내용

넷프로텍트 이센셜

(NetProtect Essential)

개인정보유출 피해비용

(Privacy Injury and Identity Theft)

- 개인정보 유출에 따른 비용 보상

- 개인정보보호 법률 또는 정책 위반에 따른

비용 보상

네트워크 손상

(Network Damage)

- 네트워크 데이터 손상・도난에 따른 피해

보상

- 보험 가입 당사자의 네트워크 접근 제한 상황

발생에 따른 피해 보상

넷프로텍트

(NetProtect)

개인정보보호 법규 위반에 따른 배상

(Privacy Injury Liability)

- 개인정보보호 규정 위반에 따른 피해 보상

- 개인정보보호 위반 통지 비용 보상

보안피해 배상

(Security Liability)

- 보험 가입 당사자와 제3자의 네트워크 접근

제한상황 발생에 따른 피해 보상

콘텐츠 피해

(Content Injury Liability)

- 저작권, 상표권, 명예 훼손 등과 관련된

배상 책임 보상

업무상 발생하는 손해 배상

(Professional Liability)- 통신 오류 발생에 따른 피해 보상

보안 대응 비용

(Extortion)- 네트워크 공격 대응 비용 보상

전자시스템 피해

(Electronic Theft)

- 피해기업의 네트워크를 통해 발생한 금전 피

해 보상

※ 옵션을 통해 무형 자산까지 포함 가능

네트워크 피해복구

(Network Loss or Damage)- 피해를 입은 네트워크 복구비용 보상

기업 매출손실

(Business Interruption)- 보안 사고로 인한 매출손실 보상

출처 : CNA

2) CHUBB(Chubb Group of Insurance Companies)보험사

2009년 10월 글로벌 보험그룹 CHUBB은 정보보호 보험 상품 ‘사이버보안보험(CyberSecurity

by Chubb)’을 출시했다. 이 보험은 데이터 유출 등 보안 사고에 대한 손실을 보상하는 보험으로

영리단체를 가입 대상으로한다. 또한 보험 당사자와 제3자 모두 보상해주나 당사자 보험의 경우

옵션사항에 포함하고 있다.

14) 중소기업 대상 상품인 넷프로텍트 이센셜은 대기업 대상 상품인 넷프로텍트 상품에 비해 배상 한도와 보상 범위가 작다.


FOCUS

<표 6> 사이버보안(CyberSecurity by Chubb) 보험 상품


당사자

(First Party)

보호

- 옵션사항

개인정보유출 통지 비용

(Privacy notification expenses)- 보안 사고 통지, 고객 모니터링 및 복구 비용

위기관리 및 대응 비용

(Crisis management and reward expenses)- 사이버위협 관리 및 피해보상관련 컨설턴트 비용

서비스 장애 보상

(E-business interruption)- 보안 사고로 인한 서비스 장애 손실 보상

전자통신 피해 보상

(E-theft and e-communication loss)- 외부 시스템과의 네트워크 단절에 따른 피해 보상

피해복구 보상

(E-threat)- 피해복구 협상관련 비용 보상

전자기물 파손 비용

(E-vandalism expenses)- 내부 직원에 의한 전자기물 파손 보상

제3자

(Third Party)

보호

개인정보유출 피해 비용

(Disclosure injury)

- 개인 정보에 대한 비승인 접속 혹은 배포에 대한

소송 비용

콘텐츠 피해

(Content injury)- 지적재산권, 상표 및 저작권 위반에 대한 소송 비용

기업평판 실추 비용

(Reputational injury)

- 제품이나 서비스 비방, 명예훼손 등 프라이버시

침해에 대한 소송 비용

시스템 피해 비용

(Conduit injury)- 제3자 시스템에 피해에 대한 소송 비용

시스템 접속 오류 피해

(Impaired-access injury)- 고객의 시스템 접속 실패 피해에 대한 소송 비용

출처 : Chubb Group of Insurance Companies

3) AIG(American International Group) 보험사

2012년 6월 AIG는 사이버 위협을 다각적으로 보장하는 종합배상보험상품 ‘사이버에지(CyberEdge)'를

출시했다.15) 최소 연 매출 10만 달러 이상의 영리 단체를 가입대상으로 하고 있으며, 개인정보는

물론 기업정보 유출로 발생한 법적 배상책임과 관련 부대비용까지 모두 보장하고 있다16).

보험대상은 보험 당사자와 제3자이며, 개인과 기업 단위의 보안 사고를 보상(추가 옵션선택

통해 보상 범위 확대 가능)하고 있다.

15) AIG는 이미 2000년 1월부터 e비즈니스 리스크 솔루션을 제공해왔으며, e비즈니스 리스크 솔루션의 보상 범위를 강화한

사이버에지를 출시

16) 보상액의 경우, 1,000만 달러의 한도를 가지고 있다.


FOCUS

<표 7> 사이버에지(CyberEdge) 보험상품


기본 사항

개인정보유출 피해비용

(Personal Data Liability)

- 개인 정보 유출로 인한 법적 배상책임 및 관련 부대

비용 보상

기업정보유출 피해비용

(Corporate Data Liability)

- 기업 정보 유출로 인한 법적 배상책임 및 관련 부대

비용 보상

외주업체 피해비용

(Outsourcing)

- 외주업체의 정보 유출 또는 기업의 정보 보안 관리기준

위반으로 발생한 배상책임 보장

보안의무 위반 및 직원과실에 따른 피해 비용

(Data Security)

- 해킹, 바이러스 등 사이버 공격에 의한 사고뿐만

아니라 내부직원 또는 제3자의 과실, 태만, 고의적

인 정보 유출로 인한 손해 보상

피해복구관련 부대비용

(Defence Costs)

- 사이버 사고 감독당국에 의해 발생하는 모든

민・형사 소추에 대한 부대비용

부가 서비스

피해조사 비용

(Data Administrative Investigation)

- 정보보호 관련 기관의 조사와 관련된 법률 자문료 및

법정 대리인 선임 비용

정부법규 위반 비용

(Data Administrative Fines) - 정보보호 규정 위반으로 발생한 벌금 비용

정보유출 통지 비용

(Notification & Monitoring Costs)

- 정보 유출 사고 발생시 피해자에 대한 통지 및

모니터링 비용

기업평판 복구비용

(Repair of the Company’s and Individual’s

Reputation)

- 피해기업 및 개인의 명성회복에 지출되는 비용

옵션 사항

콘텐츠관련 피해 비용

(Media Content)

- 콘텐츠 저작권, 상표권 침해 등과 관련된 배상책임

및 부대비용

피해원인 규명비용

(Cyber Extortion)

- 사이버 공격 원인 규명에 따라 발생하는 관련

부대비용

피해기업 매출손실 비용

(Network Interruption Insurance)

- 사이버 공격으로 인한 영업손실, 매출 피해액 등을

보상

피해기업 복구비용

(Data Crisis Response Services)

- 피해기업의 경영 위기극복을 위해 법률회사 및 PR회사

등 각 분야의 전문가들과 연계해 자문 서비스를 제공

출처 : AIG

4) 필라델피아 보험사(Philadelphia Insurance Companies)

2010년 1월 필라델피아 보험사는 정보보호 보험 상품 ‘사이버보안배상책임보험(Cyber

Security Liability)’을 출시했다. 가입대상은 금융기관, 신용카드 업체, 온라인 게임 업체 및 연

수익 2억 5,000만 달러 이상의 기업을 제외한 공공 및 민간 부문, 비영리조직 등이며, 당사자와

제3자 모두, 디지털 자산 손실, 사업 중단에 따른 피해액, 개인정보보호 위반에 따른 배상 책임

및 피해 복구비용 등이 보호대상이 된다. 피해 보상액은 500만 달러 한도 내다.


FOCUS

2. 일본의 정보보호 보험시장17)

2003년 5월「 개인정보 보호에 관한 법률」(개인정보보호법)이 제정・공포되어 사회적으로

개인정보 취급에 관한 의식이 급속히 높아졌다. 사업자들은 자신들이 보유하고 있는 개인정보를

유출할 경우, 피해자에게 채무불이행책임 또는 불법행위책임에 의한 손해배상책임을 지게

되는데, 이 경우 사업자들은 기업 이미지 저하로 인한 매출하락으로 이어져 큰 피해를 받게

된다. 고객을 포함한 모든 이해관계자는 사업자가 사업 활동을 하기 위해 다수의 개인정보를

취급하는 일이 불가피하므로, 법령을 준수하여 개인정보를 취급하고 적절한 리스크 관리를 해야

한다는 점을 요구하고 있다. 이러한 상황에 입각하여 사업자가 개인정보를 취급하는 데 있어

리스크에 대응하는 차원으로 정보보호 보험이 출시되었다.

일본의 정보보호 보험 시장은 정보보호 서비스 시장의 약 2~3%를 차지하고 있으며 정보보호

보험 시장규모는 2011년 기준 약 72억엔 정도로 추산하고 있다.18)

<표 8> 정보보호 보험시장 규모

시장규모 08년도 09년도 10년도 11년도

정보보호 보험시장 7,591 7,377 7,234 7,244

정보보호 서비스시장 347,587 324,964 309,983 292,840

정보보호 시장 719,250 682,061 664,199 648,326

출처 : 일본 IPA(2012) 「정보보호백서」.

일본의 정보보호 보험상품은 크게 해킹 등 침해사고로 인한 개인정보 취급사업자 보험19)과 IT

정보보호 손해보험으로 구분할 수 있다. 개인정보 취급사업자 보험의 경우, 대형 IT업체를

대상으로 한 보험상품과 중소기업을 대상으로 한 단체보험이 판매되고 있으며, 이중 단체보험은

개인정보유출보험20)이란 명칭으로 일본상공회의소 및 지방상공회의소의 회원을 대상으로

판매되고 있다. 단체보험은 단체할인보험료를 적용하며 개인정보보호법에 대응한 리스크진단

서비스를 무료로 제공하고 있으며, 중소기업의 개인정보유출리스크를 줄이는데 기여하고 있다.

17) 손해보험협회(2009), “일본의 손해보험시장에서의 상품동향”을 참고.

18) 2006년 70억엔 규모로 급속히 팽창하였으나, 2008년 76억엔 이후 지속적으로 감소하고 있는 추세.

19) 보험사에 따라 가입대상, 업종 등 매우 정교하게 나누어져 있는 경우도 있음.

20) 개인정보유출보험은 배상책임부분과 비용손해부분으로 구성되며 피보험자에게 보험기간 중 일본에서 손해배상청구가

이루어진 경우에만 보상하고 있다.


FOCUS

<표 9> 정보보호 보험종류21)

보험종류 가입대상 보상내용

IT 관련 정보보호

손해보험

- 정보 서비스 제공

- S/W 개발

- ISP

- 콘텐츠 서비스 제공자

- 어플리케이션 서비스 제공자 등

- IT를 활용하는 제조업, 운송업, 학교 등

- 데이터 손실 파괴

- 시스템, 네트워크 중단・사용불능

- 정보유출

- 저작권 침해

- 프라이버시 침해 등

개인정보 취급사업자

보험- 개인정보를 취급하는 모든 사업자 및 개인

- 개인정보DB 해킹

- 개인정보 기록물(서류, PC, CD등) 도난, 분실

- 고객메일 송부 실수 등

1) 아이오이손보

2004년 6월 아이오이손보는 개인정보를 취급하는 사업자들을 대상으로 개인정보유출

배상책임보험을 출시했다. 개인정보 유출사고로 인한 손해배상금이나 변호사 선임비용 등의

소송비용을 지급하며, 개인정보유출 피해자 본인에 대한 위로품 제공, 신문 등에 사죄 광고를 할

경우에 필요한 비용 등과 같은 초기대응 비용도 보상한다. 특히 네트워크 정보기기에서 유출된

전자 데이터의 개인정보 뿐만아니라, 종이 데이터(개인정보가 기재된 신청서)등도 보상 대상이

된다는 특징이 있다.

<표 10> 개인정보유출 배상책임보험 비용의 내용

비용항목 내용

광고선전활동비용

- 개인정보 유출로 인한 브랜드 이미지를 회복하거나 실추를 방지하기 위한 광고선전활동에

필요한 비용

※ 단 개인정보 유출에 대해 사의를 표명하기 위한 사고(社告) 또는 개인정보 유출 재발방지대책 또는

위기관리개선을 실시하기 위한 선전이나 광고비용에 한함

위로금・위로품

구입비용

- 개인정보가 유출된 개인에게 사죄하기 위해 지급하는 위로금이나 송부하는 위로금 비용

- 위로금・위로품 구입비용은 개인정보 1건(본인과 가족의 개인정보를 합하여 1단위로 구성된

경우에는 1건으로 간주한다) 당 500엔을 한도로 하고, 동사(同社)가 미리 승인한 것에 한한다.

※ 위로품에는 기명 피보험자만이 사용가능한 상품권, 서비스권, 할인권, 티켓, 회수권 등이 있음

법률상담비용- 개인정보 유출에 대응하기 위해 법률사무소 또는 변호사에게 지급하는 상담비용.

※ 법률상의 손해배상을 청구하는 것 또는 청구된 것에 기인하는 비용은 제외

컨설팅비용

- 개인정보 유출 사실 등에 대한 확인 혹은 조사를 하기위해, 또는 개인정보의 회수 혹은 광고선

전활동의 방법을 책정하기 위해 제3자인 컨설턴트를 기용한 경우 발생하는 비용. 단, 동사가

미리 승인한 것에 한함

21) 보험사에 따라 가입대상과 보상내용이 정교하게 나누어져 있음.


FOCUS

사고대응비용

- 개인정보 유출의 직접적인 결과로서 또는 개인정보 유출의 영향을 방지 혹은 경감시키려고

하는 피보험자의 노력에 직접 기인하여 피보험자가 실제로 입은 손해로, 다음 중 어느 하나에

해당하는 비용.

① 전화, 팩스, 우편 등에 의한 통신비용(문서 작성 및 봉투 값을 포함)

② 통신업무 소비자상담 콜센터회사에 위탁하는 비용

③ 사고 대응에 의해 발생하는 인건비 중 통상적으로 필요한 인건비를 초과한 부분

④ 사고에 대응하기 위해 발생하는 출장비 및 숙박비

⑤ 사고원인 조사비용

⑥ 타인에게 손해배상청구를 제기함에 따른 쟁송비용

출처 : 손해보험협회(2009), “일본의 손해보험시장에서의 상품동향“.

2) 손보재팬

2004년 3월 손보재팬은 일본 최초로 개인정보를 취급하는 사업자를 대상으로 개인 정보를

취급하는데 있어 발생하는 리스크에 대해 폭넓게 보상을 종합화한 상품인

개인정보취급사업자보험을 출시했다.22) 개인정보취급사업자보험은 정보처리사업자에

한정하지 않으며 개인정보를 취급하는 많은 사업자를 대상으로, 만의 하나 개인정보를 유출한

경우나 유출할 우려가 생긴 경우에 신속히 그 해결에 나설 수 있도록 사업자가 부담하는 여러

가지 손해를 보상한다. 보험상품 특징으로는 제3자에 대한 손해배상, 브랜드 보호

비용(개인정보를 유출한 사업자가 기업 브랜드 가치를 방어하기 위해 지출하는 사죄광고비

등)을 보상하며, 개인정보보호법에서 규정하는 개인정보 취급사업자(개인정보의 취급 건수가

5,000건을 넘는 사업자)에 한하지 않고, 개인정보를 취급하는 대부분의 사업자가 가입할 수

있다는 특징이 있다.

<표 11> 보험료 납입 예시

업종 연간 매출 보장한도액 연간보험료

IT 사업(호스팅) 5천만엔 1억엔 508,400엔

제조, 건설, 소매업 5억엔 5천만엔 183,000엔

22) 2006년 4월에 상품내용을 더욱 확충시키기 위해 2가지 특약(① 홈페이지 운영. 컴퓨터바이러스에 기인하는 손해담보

추가조항, ② 구상권 방기(放棄) 추가조항)을 추가하여 보험료 수준을 일부 변경함.


FOCUS

3) 닛세이동화손보(주)

2003년 7월 닛세이동화손보(주)는 IT를 활용하는 기업이 고객에게 지급하는 손해배상금이나

쟁송비용을 보상하는 IT업무배상책임보험을 출시했다.23) 인터넷이나 홈페이지 등의 IT를

활용하는 기업에서 사고로 인해 배상책임을 지게 된 경우 손해배상금이나 쟁송비용을 지급하는

상품으로, IT사업자뿐만 아니라 IT를 업무로 활용하는 일반기업도 가입할 수 있다.

IT업무배상책임보험은 정보시스템이나 컴퓨터 네트워크를 이용하고 있는 기업, 또는

전자정보를 제공하고 있는 기업이 다음과 같은 이유로 손해배상 비용이 제기된 경우에 보상을

해준다.

<표 12> 비용보상 내역

구분 내용

1 제3자의 업무 수행 전부 혹은 일부의 휴지 또는 저해

2 전자정보의 소실・손괴

3 전자정보의 유출

4 인격권 침해・저작권 침해

5 상기 1~4 이외의 예측할 수 없고 돌발적으로 생긴 사유

출처 : 손해보험협회(2009), “일본의 손해보험시장에서의 상품동향“ 재구성.

3. 유럽의 정보보호 보험시장

유럽은 각국이 개인정보보호관련 법률을 재정비하며 정보보호 보험 상품판매24)가

본격화되기 시작했다. 직원실수, 프로그램 에러, 시스템 마비 등으로 발생하는 배상책임을

보상하는 정보보호 상품이 생겨났으며, 유럽내 정보보호 보험 시장이 가장 활성화된 국가 중

하나인 영국의 경우 9개의 정보보호 보험상품이 운영되고 있다. 영국 보험회사

로이즈(Lloyds)는 유럽의 정보보호 보험 시장이 이제 막 형성된 시장이라고 밝히고 있으며,

EU의 데이터보호법 개정안 발표 등 법안 강화로 향후 소매업, 의료, 금융서비스 등 데이터를

활용해 사업을 하고 있는 기업들을 중심으로 정보보호 보험 시장 수요가 증가할 것으로

전망하고 있다. 유럽은 네트워크 정보보안 전문기관인 유럽정보보호기구(Europe Network and

Information Security Agency)를 출범시켜 기업들의 정보보호 보험 가입 의무화와 사이버 위협에

23) 2004년 8월 1일부터 정보유출시 위로금 등의 비용손해를 담보하는 특약을 신설.

24) ACE Europe, Hoscox, Lloyd’s 등의 보험회사에서 정보보호 보험상품을 판매 중에 있다.


FOCUS

대한 국가재보험 등 정보보호 보험시장의 규모를 확대시키기 위해 범국가적인 차원에서 노력을

기울이고 있다.25) 유럽 정보보호 보험 시장규모를 파악한 정확한 자료는 없으나 영국의

정보보호 보험 시장규모는 300(4,400억 원)~400만(5,880억 원) 유로에 이르는 것으로

조사됐다.26)

25) 최근 유럽의 정보보호기구(ENISA)는 정보보호 보험이 사이버 보안 리스크 관리에 유용한 수단이며, 피보험자 집단의 재정적

안정성확보 가능 등의 정보보호 보험의 유용성에 대해 피력했다.

26) ENISA(2012), “Insentives and barriers of the cyber insurance market in Europe”.

27) 한국인터넷진흥원(2012), 「2011년 정보보호 실태조사(기업편)」.

28) 보험개발원(2012), “개인정보유출 배상책임보험의 활성화 방안”.

29) 전자금융거래배상책임보험의 경우 보상한도액이 20~50억원 수준.

Ⅳ. 국내 정보보호 보험시장 현황

1. 국내 정보보호 보험시장 개요

국내의 경우, 개인정보유출 사고 증가와 개인정보보호법 시행에 따라 개인정보유출

배상책임보험 중심의 정보보호 보험시장이 형성되었다. 현재 5종(의무보험 3종 포함)의

정보보호보험 상품이 운영되고 있으며, 보험 시장 규모는 2010년 기준 연간 약 80억 원으로

매우 작은 상황이다. 또한 2010년 기준 정보보안 침해사고에 대비하여 보험에 가입하고 있는

사업체는 4.7%에 불과해 여전히 낮은 가입률을 보이고 있다.27) 하지만 개인정보유출

배상책임보험의 경우 국내 잠재시장규모가 최소 4,400억 원에서 최대 3조 6천 억원 수준으로

조사되어 향후 국내 손해보험사의 주력 상품으로 부상할 가능성이 높아질 것으로 예상된다.28)

현재 국내에서 운영되고 있는 정보보호 보험 상품으로는 전자금융거래 배상책임보험,

공인전자문서 보관소 배상책임보험, IDC 사업자 배상책임보험 등 의무보험 3종과 개인정보유출

배상책임보험, e-Biz 배상책임보험 등 2종의 임의보험이 있다. 의무보험이란, 전자금융거래법의

금융기관, 정보통신망법의 IDC 사업자 등 소수의 특정 사업자가 의무적으로 가입해야 하는

보험으로 해킹, 위법행위로 인한 손해 등에 대해서 보상하고 있다. 하지만 은행 등 금융기관

대상의 의무보험인 전자금융거래배상책임보험과 같이 보상한도액이 작아 실효성이 낮다는

평가를 받고 있다.29) 임의보험이란, 보험가입이 가입자의 자유의사에 따르는 보험으로 온라인

쇼핑몰 사업자, 고객정보를 다루는 업종 등 인터넷 사업자를 대상으로 하고 있다. 하지만 최근


FOCUS

대규모 개인정보유출사고에 대해 기업체의 책임을 인정하지 않는 법원판결이 잇따라

발생하면서 기업체의 보험가입 필요성에 대한 인식이 매우 부족한 실정30)이다.

<표 13> 국내 정보보호 보험 상품

구분 상품종류 주요 보상 내용 가입대상최저

보험금

의무화

실시연도

의무보험

전자금융거래 배

상책임보험

해킹 또는 전산장애 등으로 금융거래

피해 고객이 입은 손해를 보상

금융기관 및

전자금융업자

1억~

20억‘07.1

공인전자문서

보관소

배상책임보험

전자문서보관 등의 업무수행과 관련하

여 위법한 행위로 이용자에게 손해를

입힌 경우 손해를 보상

공인전자문서

보관소20억 ‘07.11

집적정보통신

시설(IDC) 사업자

배상책임보험

집적정보통신시설의 멸실, 훼손, 그 외

운영장애로 발생한 피해를 보상

집적정보

통신시설사업자

5천만원~

10억원‘01.1

임의보험

개인정보유출

배상책임보험

개인정보 유출을 당한 가입 고객으로부

터 손해배상청구 소송을 당했을 때 발

생하는 손해를 보상

온라인 쇼핑몰 등

고객정보를 다루는

업종

- -

e-Biz

배상책임

보험

피보험자의 인터넷 및 네트워크 활동으

로 인하여 타인에게 손해를 가한 경우

법률상 손해를 보상

온라인 쇼핑몰 및

인터넷 개발업자 등- -

출처 : 변혜원(2012), “개인정보 관련 리스크와 보험산업”, 보험연구원, 재구성.

2. 국내 정보보호 보험 상품

현재 현대해상, 한화손해보험, 동부화재 등 대부분의 손해보험회사에서 정보보호 보험을 판매 중에 있다.

1) 개인정보보호 배상책임보험(현대해상/한화손해보험)

개인정보보호 배상책임보험이란 개인정보의 누출로 인한 기업의 경영위기를 순조롭게

극복하고 안정적인 기업활동을 보장하기 위해 새롭게 도입된 보험으로 개인정보 유・누출에

따른 피해자에대한 법률상 손해배상금 및 손해배상책임 지출 비용 등에 대해 보상한다.

30) PwC US와 CSO 매거진이 공동으로 주관한 2013 사이버 범죄 현황 조사(2013 State of Cybercrime Survey)에 따르면,

사이버 범죄가 확산되는 상황에도 불구하고 기업들은 이에 대한 심각성이 부족해 사이버 보안에 대한 투자의식이 낮은

수준인 것으로 나타남.


FOCUS

<표 14> 개인정보보호 배상책임보험 손해보상 내용

구분 내용

보상하는

손해

기본담보

- 개인정보의 우연한 누출로 인해 피보험자가 피해자에게 지급할 법률상의

손해배상금

- 손해배상금 이외에 법률상의 손해배상책임을 부담함으로써 피보험자가

지출한 비용

선택담보

- 위기관리 컨설팅회사가 위기의 영향을 관리 및 최소화하는 목적으로

피보험자에게 제공하는 위기관리서비스에 의해 발생한 비용

- 피보험자가 개인정보유출로 인한 위기의 영향을 관리 및 최소화하려는

목적으로 부담한 비용

- 신용정보 누출로 인한 제3자의 경제적 손해배상청구 담보

- 파견 근로자가 파견처에서 행한 행위로 인한 배상청구 담보 등

보상하지 않는 손해

- 피보험자나 피보험자의 임원 또는 임원이었던 사람(기명피보험자 또는 그

자회사의 직원이나 직원이었던 사람을 제외합니다)의 고의 또는 범죄행위에

기인한 손해배상청구

- 재물의 멸실, 훼손, 오손, 분실 또는 도난(그에 따른 재물의 사용 불능 손해

포함)에 기인한 손해배상청구 단, 재물의 분실 또는 도난에 수반하는 개인정

보누출로 인한 손해배상청구는 보상

- 개인정보 이외의 정보누출에 기인한 손해배상청구

- 초년도 계약의 보험개시일 이전에 발견된 개인정보누출로 인한 손해배상청구

- 이 계약의 보험개시일 이전에 피보험자에 대한 손해배상청구가 제기될 우려

가 있는 상황을 피보험자가 알고 있었던 경우(혹은, 알고 있었다고 판단할

수 있는 합리적인 사유가 있는 경우 포함)에 그 상황의 원인이 되는 개인정

보누출에 기인하는 손해배상청구 등

2) E-Biz배상책임보험(동부화재)

E-Biz배상책임보험이란 피보험자가 인터넷과 네트워크 상에서 발생한 사고로 인해 손해

배상청구를 받아 발생하는 피해를 보상해주는 보험이다.


FOCUS

<표 15> E-Biz배상책임보험 손해보상 내용

구분 내용

보상하는 손해

- 컴퓨터 시스템 장애 및 전자거래 중단에 따른 법률상 손해배상금(혹은 보험회사가 동의

한 합의금) 및 방어비용(변호사 비용, 소송비용 등)

- 네트워크나 웹사이트의 접속방해나 지연, 불통에 따른 법률상 손해배상금(혹은 보험회

사가 동의한 합의금) 및 방어비용(변호사 비용, 소송비용 등)

- 고객의 이름, 주민등록번호 등과 같은 개인신상정보의 오용 및 악용에 따른 법률상 손해

배상금(혹은 보험회사가 동의한 합의금) 및 방어비용(변호사 비용, 소송비용 등)

- 보안체제의 파괴 / 컴퓨터 바이러스의 감염 및 확산에 따른 법률상 손해배상금(혹은 보

험회사가 동의한 합의금) 및 방어비용(변호사 비용, 소송비용 등)

- 명예훼손, 신용훼손, 프라이버시 침해에 따른 법률상 손해배상금(혹은 보험회사가 동의

한 합의금) 및 방어비용(변호사 비용, 소송비용 등)


- 보험계약자 또는 피보험자의 고의로 생긴 손해에 대한 배상청구

- 신체장해나 재물손해에 기인된 손해배상청구

- 국가, 지방자치단체 등이 제기하는 배상책임

- 계약상 가중책임

- 임원의 부정, 사기, 범죄, 또는 악의적 행위에 기인된 손해배상청구

※ 단, 최종판결의 선고시까지 지출된 방어비용은 보상함

- 계약시점에 알고 있었거나 예견 가능했던 손해배상청구를 야기할 수 있는 상황이나

사건에 기인된 손해배상 청구

- 위성장애에 기인된 손해배상청구

- 전기적 장애, 특허권침해에 기인된 손해배상청구

- 증권거래법, 독점금지관련법을 위반하여 생긴 손해에 대한 배상청구

3) 전자금융거래 배상책임보험(LIG 손해보험)

전자금융거래 배상책임보험이란 해킹 또는 전산장애 등으로 금융거래 피해를 입은 고객의

손해를 보상하는 보험으로 전자금융거래법 제2조 제3항의 금융기관, 기명피보험자의 전・현직

임원, 직원, 수탁인(전자금융보조업자 제외), 승계인 또는 양수인 등을 가입대상으로 한다.


FOCUS

<표 16> 전자금융거래 배상책임보험 손해보상 내용

구분 내용

보상하는 손해

기본담보- 법률상 손해배상금, 손해방지비용, 소송비용을 포함한 관련비용, 공탁보증

보험료 등

선택담보

- 피보험자의 업무수행과정이나 그러한 목적으로 소유, 사용, 관리하는 개인정보

의 우연한 유출로 법률상 손해배상책임을 부담함으로써 입은 손해

- 개인정보유출배상책임담보 특약에서 보상하는 사고에 기인해 피보험자가 부담

하는 사고관리컨설팅 비용

※ 단, 사과광고게재비용, 소송비용 등은 불포함

- 개인정보유출배상책임담보 특약에서 보상하는 사고에 기인해 피보험자가 실추된

브랜드 이미지를 회복하거나 방지하기 위하여 부담하는 사고관리비용 보상 등


- 보험계약자 또는 피보험자의 범죄행위 또는 고의로 생긴 손해

- 계약에 의해 가중된 손해배상책임

- 타인의 신체피해 또는 재물손해 (단, 피보험자의 과실에 의한 유체물의 직접손해

에 대한 배상청구는 보상)

- 피보험자간의 배상청구

- 국가 또는 지방자치단체의 기관이 제기하는 배상청구

- 전력공급중단, 정전, 전압/전류 불안정에 기인된 배상청구

- 특허권 침해에 기인된 배상청구

- 증권거래법, 공정거래법 위반에 기인된 배상청구

- 접근매체(대금결제가 가능한 전자식카드에 한함)의 분실 또는 도난에 의하여 발

생한 손해에 대한 배상청구

- 개인정보의 유출로 기인하여 피보험자가 부담하는 법률상 손해배상청구

Ⅴ. 정보보호 보험시장 활성화를 위한 정책 제언

지금까지 국내외 정보보호 보험 시장 현황 분석을 통해 정보보호 보험 시장 활성화 부진의

원인을 이해당사자와 보험시장으로 나누어 살펴보면, 다음과 같이 정리할 수 있다.

우선, 보험 관련 이해당사자인 기업들의 경우, 정보보호 보험 가입 필요성에 대한 인식이

부족하다는 문제점이 있다. 최근 SK커뮤니케이션즈 개인정보유출 사건대해 피해자의 승소를

판결한 사건이 있었다. 하지만 기업들은 손해배상금액 규모가 작아 피해자의 대규모 소송이

회사의 존립에 영향을 미칠 수 있다는 것에 대한 인식을 하지 못하고 있으며, 그 외 옥션,


FOCUS

GS칼텍스의 개인정보유출사건의 경우, 법원이 기업의 배상책임이 없다는 판결을 내려

기업들의 정보보호 보험 가입 필요의식을 저해하는데 기여하고 있는 실정이다.

국내 중소기업의 경우, 72% 이상이 정보보호를 위한 지출이 전혀 없는 수준으로 정보보호

분야에 대한 관심이 부족하고 정보보호 보험 가입 필요성을 느끼지 못하고 있다.31)

또한 기업들은 자사의 정보 유출 사고로 인한 기업 평판이나 신용에 영향을 미쳐 매출저하로

이어질 것을 우려해 정보보호 관련 사건・사고를 외부에 공개하기 꺼려하는 경향이 있다. 결국,

이는 정확한 정보를 바탕으로 작성되어야 하는 정보보호 보험시장 기초현황 조사에 어려움을

겪어 정보보호 보험시장 활성화의 걸림돌이 되고 있다.

다음으로 정보보호 보험시장 측면에서 살펴보면, 정보 자산의 가치 측정 등 정보보호의

특수성으로 인한 보험상품 개발의 어려움이 발생한다는 것이다. 예를 들어, 고객정보를 담고

있는 데이터베이스가 도난당한 경우, 그 데이터베이스의 가치를 어떠한 근거나 기준으로

산출해야 하는지 명확하지 않다는 문제점이 있다. 또한 보험회사는 과거의 손실이나 리스크에

근거해 보험의 보상액, 보험료 등을 결정하지만, 정보보호 분야는 과거의 참고할 만한 실적이

많지 않아 상품개발에 어려움을 겪고 있다.

이러한 문제점들을 고려하여 국내 정보보호 보험시장 활성화방안을 다음과 같이 제언할 수 있다.

첫째, 단계적으로 보험 가입 의무화 제도를 도입할 필요가 있다. 우선 실효성 있는 이용자

피해구제를 위해 공신력이 있는 공공기관을 대상으로 우선적으로 도입하며, 이후 해킹 사고의

개연성이나 피해가 클 것으로 예상되는 기업체에 대해 가입여건, 가입범위 및 규모를 고려하여

민간으로 확대시키는 방안이 있다.

둘째, 정부차원의 정보보호 보험 가입 활성화 유도 정책이 필요하다. 사고발생 시

책임경감・세제혜택 등 인센티브 확보 방안, 공공기관의 보험가입에 따른 재원 마련,

중소사업자를 위한 보험료 보조 방안 등 다양한 방안이 있을 것으로 생각한다.

셋째, 한국인터넷진흥원 등 정보보호 전문기관과 보험개발원 등 보험전문기관과의 협력을

통해 정보보호 보험시장 활성화를 위한 기반을 마련해주어야 할 것이다. 기업별 사이버

위험측정 방안, 정보 유출 피해액 산정 기준 마련 등 각종 기준마련을 위한 공동연구를

실시하고, 정보보호 보험 활성화를 위한 관련 법 제정 지원 등의 노력을 통해 시장 활성화를

위한 기반 여건을 마련해 주어야 할 것이다.

31) 한국인터넷진흥원(2012), 「정보보호 실태조사(기업편)」


FOCUS

넷째, 정보보호 보험 필요성에 대한 기업들의 인식제고를 위해 홍보 활동을 강화해야 한다.

예를 들면, 정보보호 관련 행사에서 정보보호 보험 홍보부스 설치를 통한 사이버 공격의 위험 및

사이버 공격 피해의 심각성 설명을 한다거나 또는 정보보호 보험 광고제작을 통해 TV, 라디오

등의 미디어 매체에 홍보활동을 하는 방안이 있을 것이다.

지난 3월 20일 북한소행으로 추정되는 사이버공격으로 방송국, 금융기관 등 총 6개사

48,000여 대의 내부직원 PC와 서버가 손상되는 피해가 발생했다. 피해 금액은 8,823억 원에

달하는 것으로 파악32)되고 있으며, 다행히 고객정보 유출과 같은 추가 피해는 발생하지 않았다.

이번 3.20 사건 이후 기업과 국민들 모두 사이버위협의 위험성을 모두 체감했으며, 더불어 날로

고도화된 기술과 기법을 활용한 사이버 공격에 대한 리스크를 해소하는 대안으로 정보보호

보험을 주목하고 있다.

현재 글로벌 IT 전문 리서치 기관들은 앞으로도 사이버 공격 횟수가 지금보다 더욱더 증가할

것으로 전망하고 있어, 향후 기업들의 정보보호 보험 수요 증가와 함께 개인정보유출에 대비한

개인단위의 새로운 정보보호 상품 개발까지 예상된다.

이러한 점을 감안한다면, 정보보호 보험 시장의 장기 전망은 매우 밝은 상황이다. 그러나

현재와 같은 국내 상황이 지속된다면, 글로벌 보험업계에 국내 정보보호 보험 및 서비스관련

시장을 내어주는 상황도 발생할 수 있다. 따라서 체계적인 정보보호 보험시장 육성 방안 마련이

시급하다.

참고문헌

ENISA, “Incentives and barriers of the cyber insurance market in Europe”, 2012. 6

변혜원, 사이버리스크(Cyber Risk)와 사이버 보험, KiRi Weekly 포커스, 보험연구원, 2012. 12

보험개발원, 개인정보유출 배상책임보험의 활성화 방안, 2012. 12

보험개발원, 개인정보유출 관련 보험제도 활성화 방안, 2012.

손해보험협회, 일본의 손해보험시장에서의 상품동향, 2009. 10

한국인터넷진흥원, 2012 국내 지식정보보안산업 실태조사, 2012. 11

한국인터넷진흥원, 2011년 정보보호 실태조사(기업편), 2012.

한국인터넷진흥원, 2012년 정보보호 실태조사(기업편), 2012. 12

32) KAIST 정보보호 대학원 보안연구센터(2013.5.27.)

국내 정보보호 보험시장 활성화 방안에 관한 정책제언 · 정책제언 focus 1...

Documents