오는 13일부터 연 매출 5000만원, 일일평균 이용자수 1000명 이상인 정보통신서비스제공자(ICT사업자 등)는 개인정보 유출 관련 배상책임보험 가입이 의무화된다. 하지만 시행 1주일을 앞두고 실효성 논란이 일고 있다.
방송통신위원회가 규제부담을 낮추기 위해 적용대상을 완화하면서 사실상 개인정보 유출 사고위험이 높은 영세기업들이 제외됐기 때문이다. 정보유출 피해를 입은 개인을 보호하겠다는 당초 법 취지가 무색해졌다는 지적이 나온다.
더욱이 전용 보험상품 개발이 법 시행 이후로 미뤄지고 관련 조치를 이행하지 않아 부과되는 과태료 역시 연말까지 유예되면서 보헙업계에서는 실제 보험 가입률이 매우 저조할 것이라는 전망이 나온다.
◇ 의무가입 대상 20% 미만…보험업계 "법취지 무색"
최근 정보통신서비스 제공자 등이 개인정보보호 관련 손해배상책임 이행을 위해 보험(공제) 가입 또는 준비금을 적립하도록 하는 내용의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부 개정령안(이하 정보통신망법 시행령)'이 국무회의를 통과했다.
보험 가입금액(적립금액)은 대상 회사의 일일평균 이용자 수와 매출 규모에 따라 5000만원에서 최대 10억원이다. 의무보험에 가입하지 않을 경우 횟수와 무관하게 2000만원의 과태료를 부과한다.
개정 시행령은 정보통신망법상 보험가입 의무화 대상 사업자의 범위 및 기준 등을 정하고 있다. 입법예고 당시에는 적용대상 기준이 개인정보를 저장·관리하고 있는 일일평균 이용자수 1000명 이상(전년말 직전 3개월 기준) 사업자였지만 업계 의견을 수용하는 단계에서 매출액 5000만원 이상이 추가됐다.
방통위가 앞서 발표한 잠재적 규제대상자 규모는 18만3300개사다. 전체 정보통신서비스제공자 약 94만개(추산) 가운데 일일평균 이용자수 1000명 이상을 추려낸 것으로 약 19.5%에 해당한다.
바꿔 말하면 일일평균 이용자수 1000명 미만 영세사업자 비중이 80.5%에 달한다는 것이다. 전체의 8할 이상이 의무가입 대상에서 제외된다. 여기에 추가로 매출 5000만원 이상이 기준으로 포함되면서 규제적용 대상자는 더 줄어들 전망이다.
이는 영세사업자가 보유한 개인정보 규모가 상대적으로 적어 해킹 표적이 되거나 유출사고가 발생해도 대형사업자에 비해 피해가 작을 수 있다는 논리에서 규제 대상을 줄인 것이다. 그러나 대량사고만 신경 쓰겠다는 것과 다르지 않아 나머지 대다수 사업자는 여전히 사각지대에 놓여 있는 셈이다.
당초 법안 개정이 개인정보가 유출된 고객이 기업의 배상능력 부족으로 손해배상을 받지 못하는 문제를 구제하기 위함이었던 점을 고려하면 법 개정 취지가 무색하다는 지적이 나온다.
특히 영세사업자의 경우 해킹 등 외부적 요인 뿐 아니라 자체사고나 부주의 등에 따른 유출가능성이 상대적으로 높아 외려 더 많은 피해가 발생할 수 있다는 분석도 나온다.
이에 대해 방통위 관계자는 "대형사가 상대적으로 준비를 많이 해도 해킹을 당할 수도 있고 규모가 작아 해커들이 관심을 가지지 않는다면 유출사고가 발생하지 않을 수도 있어 어떤 경우가 더 위험하다고 단언하기는 어렵다"고 말했다.
규제대상 규모가 명확치 않다는 점도 문제다. 보험영업 현장이나 사업자 본인이 규제대상에 포함되는지 여부에 대해 혼선이 있는 경우가 종종 있는데 정부에서도 구체적인 대상군을 파악하지 못하는 상태다. 방통위는 법안시행 이후 과태료부과가 유예되는 연말까지 이를 파악하겠다는 입장이다.
방통위 관계자는 "규제대상 추산이 18만개사 정도인데 정확한 숫자는 아니다"며 "연말까지 구체적인 윤곽을 파악해 볼 것"이라고 말했다.
◇ 상품 출시 6월말 돼야…보험사 "과태료 부과 전까지 가입 저조 예상"
관련 보험상품 개발도 더디다. 법 시행이 오는 13일부터지만 전용 보험상품은 이달말에나 출시가 가능할 전망이다.
전용상품 개발을 위한 보험개발원의 참조요율(기존 보험사의 경험통계 등을 기초로 업계 평균의 보험요율을 산출)이 아직 금융감독원 신고절차에 머물러 있기 때문이다. 신고절차가 끝나야 요율이 확정되고 여기에 각사별로 사업비를 추가해 보험료 및 상품을 내기까지 빨라도 이달말이나 돼야 한다는게 보험사들 전언이다.
전용상품 개발과 관련해서도 의견이 분분하다. 보험업계는 기존 상품으로도 충분히 수용 가능하다는 입장인데 반해 방통위에서는 별도상품 개발이 필요하다는 입장을 견지했다.
방통위 관계자는 "신용정보법으로 인해 관련 상품이 있지만 정보통신망법과 보상범위가 다를 수도 있고 신용정보법 상 범위가 더 크면 문제없지만 이도 단언할 수 없다"며 "보상범위가 100% 동일하다고 보기 어려운 부분이 있다"고 말했다.
보험업계 관계자는 "기존상품으로 충분히 수용 가능하고 추가적으로 필요한 부분이 있다면 상품을 개정하거나 특약을 통해 하면 되는데 (방통위가) 생색내기용 상품만들기를 요구해 왔다"며 "새로운 상품을 만들기 위해서는 인력과 시간, 비용이 드는데다 당국 승인도 받아야해 법시행 일자에 맞춰 상품이 나오지 못한 것"이라고 말했다.
이어 "정보통신망법 개정은 이미 1년 전에 공포된 만큼 준비를 해왔지만 적용범위 등의 합의가 오래 걸렸고 높은 리스크 대비 낮은 보험료를 요구해 보험업계에서도 받아들이기 힘든 상황이었다"며 "아직까지 보험업계에도 정보유출 관련 리스크를 파악하는 전문역량이 부족한 상태여서 (신용정보법상) 보험가입이 의무화된 금융사 대비 상대적으로 보안력이 낮을 것으로 예상되는 ICT 기업들의 가입을 반길 수만은 없는 일" 이라고 말했다.
아울러 과태료 부과가 유예되면서 법 시행 동력이 떨어진다는 지적도 나온다. 방통위는 올해 연말까지 과태료 부과를 유예하는 동시에 필요시 추가적인 유예기간도 두겠다고 밝혔다.
보험업계 관계자는 "의무보험은 보험가입을 반드시 해야 하는 만큼 인식이 심어질 수 있도록 당국이 적극적으로 나서야하는데, 과태료 유예기간을 6개월 이상 주면서 오히려 보험가입을 하려고 했던 곳들마저 유야무야 계약을 미루자는 상황"이라며 "가입을 독려해야하는 입장이 오히려 시장에 혼선을 주고 있다"고 말했다.
또 다른 관계자 역시 "사실상 과태료를 부과하기 전까지 보험 가입자는 매우 저조할 것"이라며 "의무화를 대비해 준비하고 있던 만큼 보험업계 입장에서는 매우 힘빠지는 상황"이라고 말했다.