매출의 10%를 과징금으로 낼 수 있는 시대 — 그런데 사이버 보험 시장은 45억 원

헤드라인

정부가 칼을 빼들었어요. 3월에 공포된 개인정보 보호법 개정안은 반복적이거나 중대한 개인정보 유출에 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했어요. 9월 11일부터 시행돼요. 정보통신망법 개정안도 반복 침해 기업에 관련 매출액의 최대 3% 과징금을 부과하는 근거를 담았고, 국무회의 의결까지 끝나서 공포만 남겨두고 있어요.

매출의 10%. 연 매출 1,000억 원 기업이면 100억 원이에요. 그런데 국내 사이버 보험 시장 규모는 약 300만 달러, 한화로 45억 원 수준. 묘한 숫자예요.

사이버 보험은 뭘 보장하나

사이버 보험은 해킹을 막는 상품이 아니에요. 사고가 난 뒤 기업이 떠안는 비용을 덜어주는 안전 장치에 가까워요. 보안 솔루션이 침입을 막는 역할이라면, 사이버 보험은 침입 이후의 재무 부담을 줄이는 거예요.

보장 범위는 크게 세 갈래예요. 첫째, 개인정보나 기밀정보 유출로 제3자에게 배상해야 하는 책임. 둘째, 데이터 복구비와 매출 감소 보전. 셋째, 포렌식, 위기관리, 모니터링 비용. 서비스 중단, 법률 대응, 평판 훼손까지 — 침해 사고는 단순한 전산 장애로 끝나지 않거든요.

보험연구원 손재희 실장은 "글로벌 공급망 의존 심화, 클라우드 기반 디지털 운영 확대, AI 기반 공격 고도화, 지정학적 긴장 고조 등으로 사이버 리스크가 확대되고 있다"고 짚었어요. 안랩 ACSC 박태환 센터장은 한 걸음 더 나가서 사이버 공격을 '새로운 재난'이자 '경영 리스크'라고 진단했어요. 기업 운영을 순식간에 마비시킬 수 있고, 특정 산업에 그치지 않고 전 산업으로 번진다는 거예요.

기업은 복구비를 원하는데, 시장은 의무보험만 팔고 있다

여기서 괴리가 생겨요. 보험연구원 자료에 따르면, 기업이 사이버 위협 대응 방안으로 보안 장비 도입을 꼽은 비율은 39%, 사이버 보험을 통한 위험 전가는 27%였어요. 근데 보험 가입 시 보장받고 싶은 영역은 복구 비용 55.7%, 대응 비용 48.7%, 과징금 45.3% 순이었어요.

기업들이 원하는 건 사고 뒤 복구와 회복에 드는 비용 보전인데, 시장에서 파는 건 대부분 의무 책임보험이라는 거예요.

국내 보험사 상품을 보면 크게 세 갈래예요. 법적 책임을 담는 의무보험형, 데이터 복구·기업휴지·사고 대응까지 넓게 담는 종합형, 개인 금융사기 피해를 보장하는 개인형. 삼성화재는 대형 기업용 '삼성사이버패키지', 매출 1,000억 원 이하 기업용 '삼성사이버종합보험', 개인 대상 '사이버사고보상보험'을 운영하고 있어요. AIG는 '개인정보보호배상책임보험'과 '사이버종합배상보험'을 함께 팔고 있고요.

근데 대부분 책임보험형 중심이에요. 종합형으로 업그레이드할 인센티브가 약하다는 게 보험연구원의 지적이에요.

45억 원 시장이 안 크는 세 가지 이유

보험연구원은 수요, 공급, 제도 세 축으로 병목을 정리했어요.

수요 쪽. 기업들이 사이버 리스크를 보험으로 관리해야 할 경영 리스크로 아직 충분히 체감하지 못해요. 약관이 복잡해서 뭘 보장받는지 알기 어렵고, 예산을 짤 때도 보안 장비나 컨설팅이 먼저라는 인식이 강하죠. 사고가 나도 평판 하락이 두려워 외부에 드러내지 않으려는 태도도 보험 활용을 꺼리게 만들어요.

공급 쪽은 더 어려워요. 사이버 위협은 동시다발적이고, 연계되고, 누적돼요. 화재보험처럼 독립된 사고로 보기 어렵거든요. 보험사 입장에서는 한도를 보수적으로 잡고, 면책을 늘리고, 심사를 강화할 수밖에 없어요. 상위 손해보험사 4개 기준 가입금액 15억 원 이하 비중이 96.2%라고 해요. 중소기업 입장에서는 체감 효용이 떨어질 수밖에요.

제도도 문제예요. 현행 개인정보 보호법 시행령상 손해배상책임 이행을 위한 보험 가입 대상은 전년도 매출 10억 원 이상이면서 일일평균 정보주체 수 1만 명 이상인 개인정보처리자예요. 최저가입금액은 최소 5,000만 원에서 최대 10억 원까지. 근데 실제 피해를 보전하려면 복구비와 영업중단 손실까지 생각해야 하잖아요. 최대 10억 원 한도로는 많이 부족하다는 거예요. (국회입법조사처도 같은 진단을 내놨어요.)

글로벌 시장은 44조 원까지 커지는데

대조적인 건 글로벌 시장이에요. 세계 사이버 보험 시장은 2019년 59억 달러(약 9조 원)에서 2023년 141억 달러(약 21조 5,000억 원)로 커졌고, 2027년에는 290억 달러(약 44조 원)까지 확대될 전망이에요. 시장이 커지면서 보험도 단순 보장에서 사고 대응, 위험 평가, 사전 모니터링까지 함께 보는 방향으로 진화하고 있어요.

한국은 아시아·태평양 지역 평균에도 못 미치는 수준이에요. ICT 보급률이 높은 나라인데 말이에요. 사이버 공격 증가에 따른 위험과 피해가 다른 국가보다 더 크게 나타날 수 있다는 국회입법조사처의 분석이 좀 무서운 얘기예요.

한편 최근 보험업계에서는 공급망을 타고 번지는 연쇄 리스크까지 약관에 반영하려는 논의도 나오고 있어요. 한화손해보험 관계자에 따르면 아직 일부 대형 보험사만 움직이고 있지만, 약관과 보장 범위를 이런 흐름에 맞게 손보려는 움직임이 감지되고 있다고 해요.

프로시스 언더라이팅 솔루션즈가 세미나에서 제시한 자료가 씁쓸하더라고요. 2016년 이후부터 사이버 보험 활성화, 데이터 공유, 인센티브 설계 같은 주제가 반복해서 거론돼 왔다는 거예요. 10년째 같은 얘기를 하고 있는 셈이에요.

매출 10% 과징금 시대가 열렸는데, 시장은 여전히 45억 원. 이 괴리가 좁혀지려면 — 솔직히, 한두 건의 대형 사고가 더 터져야 할 것 같아요. 좋은 시나리오는 아니지만요.