올해 사이버보험 시장이 두배 가량으로 늘어날 것이라는 전망이 나오고 있지만 보험사들의 표정은 밝지 않다. 시장 확대에 대한 기대만큼이나 손실 위험도 커질 수 밖에 없기 때문이다.
오는 6월부터 1000명 이상의 고객 개인정보를 보유한 정보통신서비스기업(이하 기업)들의 사이버보험 가입이 의무화된다.
6월13일 시행되는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 개정안(이하 개정안)'은 개인정보 유출에 따른 피해구제를 위해 정보통신서비스 제공 기업들이 의무적으로 보험(공제)에 가입하거나 준비금을 적립하도록 하고 있다.
이용자수와 매출액에 따라 보험보장금액은 최소 5000만원에서 최대 10억원이다. 전문가들은 이로 인해 사이버보험 시장이 300억~350억원 가량 늘어날 것으로 전망하고 있다.
현재 국내 사이버보험 시장이 300억원 규모인 점을 감안하면 개정안 시행을 통해 시장규모가 단번에 두배 이상으로 증가하는 셈이다.
그러나 보험업계 표정이 밝지만은 않다. 시장이 늘어나는 만큼 보험사가 감당해야 하는 리스크(위험) 부담도 늘어나기 때문이다. 특히 사이버리스크는 새로운 해킹방식이 생기는 등 진화하는 특성이 있는데다 자체 리스크 평가 역량을 갖추기도 쉽지 않아 보험사의 손실부담이 커질 수 있다.
보험업계 고위 관계자는 "보험사 입장에서 시장이 확대된다는 것은 반가운 일이긴 하지만 사이버보험 시장 확대를 통해 돈을 벌겠다고 생각하는 회사는 없을 것"이라며 "사이버리스크 자체가 갖는 특성 때문에 보험사가 위험을 컨트롤하기 어려운 부분이 많다"고 말했다.
보험 의무가입 대상인 ICT(정보통신기술) 중소기업 3분의 1이 매출액 5억원 미만 회사들로 자체 보안역량이 크지 않을 것으로 예상되는 점도 이같은 우려를 뒷받침한다.
이에 따라 보험업계에서는 전문역량을 갖춘 재보험사, 유관기관 등과 적극적인 협업을 하는 한편 자체적인 사이버리스크 평가 능력을 제고해 사이버보험 시장 확대를 대비해야 한다는 목소리가 높아지고 있다.
◇ '리스크 심사 역량' 우선과제
최용민 한화손해보험 일반보험본부장(상무)은 지난 13일 뮤니크리가 서울 중구 프라자호텔에서 개최한 '사이버마켓 이벤트 2019-ICT기업 사이버보험 가입 의무화에 앞서'란 주제로 열린 세미나에서 "보험사 역할이 막중해지는만큼 능력도 갖춰야 한다"고 지적했다.
그는 "사이버리스크에 있어 보험사가 갖는 역할과 책임감은 막중하지만 아직까지 보험업계가 사이버위험을 정확히 분석해 평가하는 역량은 부족한 상태"라며 "사이버리스크 충격으로 발생할 수 있는 피해가 어느 정도인지 그로 인한 손실이 얼마큼일지 고객에게 충분히 설명해줄 수 있는 능력을 갖춰야 한다"고 설명했다.
문제는 개별 보험사들이 이러한 사이버위험을 판단하고 관리할 수 있는 역량과 인력을 갖추는데 드는 비용이 만만치 않다는 점이다.
권순일 보험개발원 특종보험팀장은 "사이버리스크는 공격형태나 수단이 끊임없이 변화하고 진화하는 위험이기 때문에 일반적인 보험과 형태가 다르다"며 "10여년간 사고건수도 10~20건에 불과해 과거 데이터만 갖고 미래 가격을 추정하는데 한계가 있다"고 말했다.
이어 "중요한 것은 사이버보안에 대한 보험사와 계약자간 정보비대칭을 얼마나 잘 완화하고 적절히 평가할 것인가가 리스크평가와 보험보유 전략의 키가 될 것"이라며 "현재 개발원에서도 참조순요율을 준비하고 있지만 시장의 성장형태에 맞춰 비용이 드는 부분이다 보니 이를 부담할 수 있는 능력도 있어야 한다"고 덧붙였다.
이와 관련 최용민 상무는 "사이버리스크에서 가장 중요한 것은 리스크평가와 언더라이팅(보험심사) 역량"이라며 "하나의 해킹사고가 연결돼 누적사고 위험을 일으킬 개연성도 있어 시장 확대를 대비해 자체적인 역량을 끌어올리기 위해서는 유관기관, 재보험사등 전문역량을 갖춘 기관들과 협업해 나가야 한다"고 강조했다.
◇ "의무보험은 보장 하향평준화, 보장확대 방안 필요"
세미나에서는 보험가입 의무화 시행과 관련해 보장금액이 충분하지 않다는 공감대도 이뤄졌다.
이재우 SK인포섹 상무는 "앞서 여러 대형 사이버리스크 대응을 해본 결과 의무가입 보험 보장금액이 굉장히 낮게 설정돼 있어 실제 사고가 났을 때 보상을 할 수 있을까 의문이 들 정도"라며 "초기시장이라 점차 성장할 수 있는 시장이라고 보지만 현재 기업용 상품이 적절하게 나와 있지 않은 상태여서 보장이 충분한 보험상품 개발이 필요하다"고 지적했다.
그는 "사이버리스크 평가는 굉장히 어려운데 동일기업군이라고 보안수준에 상관없이 동일하게 보험료를 매길 경우 보험가입자 입장에서 수용하기 어려운 부분이 있다"며 "보안수준이 높은 기업들은 보험료를 낮추는 등 보안수준에 따라 보험료 조정이 이뤄져야 할 것으로 본다"고 말했다.
이날 발제자로 나선 난 하오 맥과이어 뮤니크리 사이버리스크 전문가는 "(이번 개정안이) 사이버보험의 최저보험가입금액을 인터넷 사용자수와 매출액에 따라 매겼는데 충분하다고 생각하지 않는다"며 "보험가입금액이 세계 평균으로 봤을 때 낮은 수준"이라고 말했다.
이어 "한국은 정보통신기술 선진국으로 해커들의 표적이 되는만큼 리스크에 더 취약하다"며 “다만 국가적 차원에서 이러한 리스크를 바라본다는 점에서는 의미있게 평가되며 일본이나 아시아 국가들도 이번 법안 발효가 어떠한 영향을 미칠지 관심 있게 지켜보는 상황"이라고 덧붙였다.
보험업계도 낮은 보장금액에 대해 우려하고 있다.
최용민 한화손보 상무는 "의무보험의 단점은 '보장의 하향평준화'로 5000만원에서 10억원의 보장금액은 실제 사고가 발생했을 때 고객이탈에 따른 차후손실을 제외해도 초기 대응비용만으로도 부족할 것"이라며 "기업들이 보험에 가입했는데도 보장을 못받았다며 보험에 대한 불신이 커질까봐 가장 우려스럽다"고 말했다.
그는 "보험업계가 리스크 역량을 키워 개별 기업의 리스를 제대로 평가하고 보안시스템 수준에 따라 맞춤형 상품을 만들어 충분히 보장이 가능하도록 할 필요가 있다"고 강조했다.
◇ ICT 기업들 보험료 부담
보험사들이 리스크 평가와 보장에 대한 부담을 가진 반면 보험가입 대상에 포함되는 기업들은 보험가입으로 갑작스레 늘어나는 비용에 대한 부담을 느끼고 있다.
개정안은 보험·공제 가입 기준을 이용자 수와 매출 규모에 따라 차등해 9가지로 나눴다.
지난 13일 방송통신위원회 주최로 열린 정보통신망법 시행령 개정안 공청회에서는 대상의 범위와 조치기준이 화두로 떠올랐다. 공청회에 참여한 기업들은 너도나도 회사가 의무부과 대상에 해당하는지 질문하기 바빴다.
이와 관련해 방통위 관계자는 "정보통신서비스사업자 개념이 새로 만들어진 것이 아니고 법상 해당 기준은 명확히 했기 때문에 가입 대상에 큰 혼란이 있을 것으로 보진 않는다"며 "다만 기간을 정하진 않았지만 법 시행 후 일부 유예기간을 두고 홍보에 집중할 예정"이라고 말했다.
리스크 대비 보장금액이 낮다는 지적과 관련해서는 "당장 보장금액을 확대하려는 계획이 있는 것은 아니다"면서도 "입법예고 전까지 의견수렴을 통해 검토해 보겠다"고 덧붙였다.
◇ "위기는 기회, 새시장 준비해야“
사이버리스크가 새로운 기회가 될 것으로 보는 시각도 있다. 차후 디지털화로 감소하게될 보험 수입을 메꿀 수 있는 유력한 분야로 평가되기 때문이다.
롤프 헤인츠젤러 뮤니크리 사이버 아태·아프리카 대표는 "IoT(사물인터넷), 자율주행차, 스마트폰 등 디지털화로 안전기술이 높아지고 그에 따라 보험료 수입은 오히려 줄어 보험영업에 타격을 입게 될 것"이라며 "사이버보험은 향후 디지털화로 감소한 보험료 수입을 메꿀 수 있는 유망한 사업분야"라고 말했다.
이어 "한국에서도 분명 사이버리스크가 존재하기 때문에 당장 수요가 적다고 해도 계속해서 좋은 상품들을 만들어가야 한다"고 강조했다.