[톺아보기]사이버위험 대응, 정부와 민간의 협력이 필요하다

송윤아 보험연구원 연구위원

정보통신기술의 급속한 발전으로 우리 사회가 물리·가상공간의 경계 없이 사람과 사물이 서로 유기적으로 연결돼 상호작용하는 초연결사회로 진입하고 있다.

사이버 사고도 그만큼 증가했다. 인간 및 시스템 오류에 의한 사이버 사고뿐만 아니라 사이버 공격이 증가하고 있다. 사이버 공격의 피해도 정보 유출 및 개인정보 침해에 그치지 않고, 기업활동 중단은 물론 물리적 자산과 인명을 위협하는 수준에 이르렀다.

따라서 사이버 리스크에 대한 기업의 보장 수요 역시 커지고 있다. 하지만 세계 보험업계는 사이버 보험 공급에 신중한 태도를 취하고 있다. 보험업계는 주로 정보 유출 관련 배상책임 보장에 집중하는 반면, 사이버 리스크의 불확실성과 거대 재해에 노출돼 있는 재물 손해, 신체 상해, 금융 도난, 정신적 손해 등을 보장하는 데에는 소극적이다.

또한 2017년 낫페트야(Notpetya) 공격으로 국가 배후 사이버 공격 논란이 발생하자, 보험업계는 사이버 보험에 대해 대재해 및 전쟁으로 인한 면책을 검토하고 있다. 따라서 사이버 사고로 인한 재물·신체·영업중단 손해, 국가 배후 사이버 공격, 사이버 대재해에 대한 보장 공백은 더욱 커질 것으로 보인다.

이에 세계 여러 나라에서는 사이버 보험 공급 지원 방안이 적극적으로 논의되고 있는데, 정부가 보험시장에 자본을 투입하는 방안이나 보험 공급 인프라 조성을 지원하는 방안이 제시되고 있다.

미국, 영국, 프랑스, 호주 등은 사이버 공격으로 발생한 기업의 재물·영업중단·배상책임 손해에 대해 정부가 재보험이나 유동성을 제공하고 그 범위를 확대하는 방안을 검토하고 있다. 정부가 보험회사에 재보험이나 유동성을 제공함으로써 보험회사의 시장 진입을 촉진해 보장 공백을 축소하려는 것이다.

한편 미국은 국토안보부 내 사이버 통계국 설치와 사이버 리스크 모델링을 위한 공·사협력 작업반 구성, 연방정부의 사이버 보험 전문인력 및 상품개발 지원 등을 제안하고 있다. 이는 보험료가 양질의 경험 데이터를 기초로 산출된 리스크에 따라 매겨지도록 함으로써 기업이 사이버 보안을 강화하도록 하는 기제로 작용할 수 있다는 믿음이 전제된 정책이다.

우리나라의 사이버 사고 대응 정책은 주로 사전적인 보안 강화에 집중하고 있다. 그러나 사이버 사고의 경우 방어보다는 공격이 쉽고 국가 배후 사이버 공격의 책임에서 정부가 자유롭지 않다는 점에서 보안 강화 일변도의 정책 대응으로는 한계가 있다.

그동안 사후적 피해 회복에 대한 정부의 접근은 개인정보 유출 및 제3자에 대한 배상책임으로 국한됐고, 기업의 재물 및 영업중단 손해 등에 대해서는 실질적인 논의가 이루어지지 않았다. 보장 공백이 예상되는 사이버 사고에 대해 보험회사의 시장 진입을 촉진하고 기업의 사이버 보험 접근성을 제고하려면 정부가 보험회사에 재보험·지급보증·유동성을 제공하는 방안을 고려할 수 있다.

또한 실제 리스크를 반영한 사이버 보험 요율 산정이나 위험 평가 기준을 마련하려면 정부·보안업계·보험업계 간 사이버 사고 데이터 공유 체계가 마련돼야 한다. 집적된 통계가 문제 해결의 첫걸음이다.

송윤아 보험연구원 연구위원