겉도는 사이버보험 가입 의무화

세액 공제 등 유인책 서둘러야

"타깃이 되면 뚫리는 겁니다. '보안'을 자신할 수 있는 중소기업이 얼마나 될까요."

최근 기자가 만난 중소기업 사장은 지난해 연이어 터진 해킹 사태에 한숨을 쉬며 말했다. 이 사장은 통신사, 플랫폼, 카드사 등 매출이 큰 대기업조차 줄줄이 해커에 뚫리는 상황에서 그들의 사태가 "남 일처럼 느껴지지 않는다"고 토로했다. 기업 상당수는 그저 해킹의 대상이 되지 않은 데 대해 가슴을 쓸어내릴 수밖에 없는 상황이라고 그는 덧붙였다.

지난해 SK텔레콤, KT, 쿠팡 등 잇단 해킹 사태로 달라진 점이 있다면 국내 기업들의 사이버보험 가입이 부쩍 늘었다는 것이다. 아시아경제가 26일 국회 과학기술정보방신통신위원회 소속 이해민 조국혁신당 의원실을 통해 입수한 자료에 따르면 줄곧 5000건대에 머물던 사이버보험 계약건수는 지난해 말 7683건으로 눈에 띄게 급증했다. SKT가 개인정보 유출 사태로 개인정보위원회로부터 국내 최대 규모인 1348억원에 이르는 과징금을 부과받자 기업들의 경각심도 커졌다.

해킹을 당한 기업은 사회적 지탄은 물론 기업 서비스 중단, 개인정보 유출로 인한 신뢰도 하락, 법적 책임 등 막대한 사회적 비용을 치르게 된다. 특히 최근 개인정보보호법 개정으로 전체 매출액의 10% 범위에서 과징금을 부과할 수 있는 조항이 신설되면서 기업들이 그간 외면해왔던 사이버보험 가입에 나선 것으로 풀이된다.

하지만 여전히 영세 중소기업 입장에서는 사이버보험 가입이 부담스러운 눈치다. 해킹 사고가 줄줄이 터지고 있지만 막상 사고가 터져도 기업이 피해자에게 물어줘야 할 배상액이 크지 않아 중소 영세기업들은 막대한 비용을 투입해야 하는 사이버보험 가입을 꺼리고 있다.

대기업도 사정은 크게 다르지 않다. 개인정보보호법은 매출 10억원 이상, 1만 명 이상 정보를 관리하는 기업에 대해 배상 책임보험 가입을 의무화하고 있지만 법적으로 강제할 수 있는 최고 금액이 10억원에 불과하다 보니 면피성이라는 얘기마저 나온다. 지난해 대규모 개인정보 유출 사고를 낸 쿠팡의 경우에도 배상보험에 가입했지만 가입금액이 10억원 수준에 그쳐 논란이 됐다.

다람쥐 쳇바퀴 돌듯 반복되는 해킹 사태를 막기 위해서는 채찍 못지않게 당근책이 절실하다. 현실적으로 자금과 인력 부족에 시달리는 중소·중견기업 입장에서는 보안이 후순위로 밀리기 십상이다. 이들이 정보보호 중요성을 인식하고 투자에 자발적으로 나설 수 있도록 정부가 인센티브를 주는 지원책이 필요하다. 기업이 정보보호 시스템 설비에 투자하거나 보험 가입, 정보보호 전문인력을 채용할 때 소득세 또는 법인세를 감면해주는 정보보호 세액공제법이 발의됐지만 아직 국회 문턱을 못 넘고 있다.

해킹 사고는 '그 후'가 더 중요하다. 해당 기업의 잘못을 가려 그에 맞는 책임을 지우는 것은 반드시 수반돼야 하지만 여기서 그친다면 기업들은 책임 회피를 위해 여전히 사고를 은폐하거나 축소하기에 급급할 수밖에 없다. 기업이 정보보호 필요성을 체감하고 적극 나설 수 있도록 독려하는 분위기 조성을 통해 민간 전반의 보안체질을 근본적으로 강화할 수 있는 방안이 효과적이다.

챗GPT 등 생성형 AI의 급속한 발달로 보안 위협은 더욱 고도화·정교화되고 있다. 올해는 클라우드 환경 취약점을 노린 공격, 딥페이크 음성·영상 기반 피싱을 비롯해 AI 서비스 자체를 노린 공격이 많을 것이란 전망이 나온다. 정부는 지능화되는 사이버위협 예방·대응 체계 마련에 나서는 한편 정보보호 투자 기업에 대한 인센티브 제공으로 민간이 보안 역량을 구조적으로 끌어올릴 수 있는 방안을 마련해야 한다.





