사이버 보안 전문가 및 보험업계 관계자들이 19일 모여 사이버 보험시장 확대를 위한 방안에 대해 논의했다. 사진은 이날 오후 서울 여의도 한국경제인협회 컨퍼런스센터에서 본격적인 세미나 시작에 앞서 기념촬영을 하는 참석자들. /사진=유찬우 기자


금융사를 겨냥한 대규모 해킹 사태가 계속 반복되는 상황에서 사이버 보험의 역할이 더 커져야 한다는 의견들이 나온다.

보험연구원은 19일 오후 서울 여의도 한국경제인협회 컨퍼런스센터에서 '사이버 리스크의 일상화, 보험산업의 과제와 대응전략은' 이라는 주제로 국제세미나를 공동 개최했다. 이날 세미나에는 국회 정무위원회 소속 유동수(더불어민주당·인천 계양구갑) 의원, 김헌수 보험연구원장, 정광민 포항공과대 교수 등을 비롯해 관련 업계 전문가들이 참석했다.


사이버 보험은 기업이 랜섬웨어 공격 등 해킹으로 발생하는 데이터 유출에 대한 배상책임을 보장받을 수 있는 상품이다. 하지만 지난해 통신 3사(SKT·KT·LGU+) 해킹 사태 당시 이들 기업 모두 사이버 보험에 들지 않은 것으로 확인된 바 있다. 이같은 배경엔 기업의 부족한 인지도와 미비한 생태계 구축 등이 꼽힌다.

김홍선 김·장 법률사무소 고문은 이날 "디지털 의존도가 높아지며 사이버 위협은 조직적인 범죄로 지능화된 가운데 랜섬웨어로 빠른 현금화가 가능해지며 사이버 공격의 패러다임이 바뀌었다"며 "사이버 공격 발생 시 사고대응 및 복구 등 과정이 고객, 언론, 규제기관 등에 신속하게 알려지고 있어 경영진의 위기관리 능력이 중요해진 시점"이라고 말했다.


김 고문은 "사이버 보안을 경영 리스크의 관점으로 준비하기 위해선 보안사고를 IT 문제가 아닌 '비즈니스 임팩트'로 지표화하고 리스크 식별 및 통제를 위한 관리체계를 수립해야 한다"며 "잔여 리스크 관리와 침해사고 대비를 위한 방안 중 하나인 사이버 보험 등을 통해 전사적인 차원에서 인공지능 전환(AX) 시대를 대비해야 한다"고 설명했다.

박태환 안랩 사이버시큐리티센터(ACSC)장은 "최근 사이버 공격의 가장 큰 특징은 조직화와 산업화"라며 "과거 개인 해커 중심의 공격에서 현재는 조직화된 범죄 그룹이 활동 중이고 공격 도구와 해킹 관련 서비스까지 판매하고 있다"고 짚었다.


이어 "해킹 발생 시 이는 표면적으로 드러난 공격에 해당하는 것일 뿐 아직 드러나지 않은 사례도 있을 수 있다"며 "정부와 기업은 각자 맡은 분야에서 보안체계를 강화하고 사이버 위협에 대응하기 위한 다층적인 협력 모델을 구체화하려는 노력이 필요하다"고 강조했다.

최광희 법무법인 세종 고문도 "과학기술정보통신부에 따르면 지난해 사이버 침해 신고는 2383건으로 전년 대비 26.3% 늘었고 해외 조사기관에 따르면 오는 2031년엔 전 세계 기업 중 2초에 한 곳꼴로 피해를 볼 것으로 예상된다"며 "사고 초기엔 관련 은폐·축소 여론 역시 확산해 기업에 대한 부정적인 이미지가 생긴다"고 지적했다.


그러면서 "사이버 사고로 개인정보가 유출될 경우 과기부, 개보위 등 복수 규제기관의 조사가 진행되며 최종 처분까지 6개월 이상의 조사를 받게 된다"며 "사이버 보험은 해킹 사고 발생 시 필요한 원인 조사 및 법률 대응 등 긴급 서비스를 제공해 기업의 초기 위험을 완화할 수 있도록 개선이 필요하다"고 전했다.

"한국, 사이버 보험 확대 위한 인프라 구축 우선"

시 라우(Sie Lau) 삼성화재 사이버 헤드는 "최근 10년간 글로벌 사이버 보험시장은 급격히 성장해 연간 약 160억~180억달러 규모로 확대됐다"며 "특히 2020~2022년 랜섬웨어 공격이 급증해 보험사가 대규모 손실을 경험한 바 있다"고 했다.

그는 "한국은 사이버 보험시장을 확대하는 과정에서 보험사, 사이버 보안 기업, 규제당국 간 협력 체계를 조기에 구축해야 할 것"이라며 "표준화된 사이버 위험 평가 지표를 마련하고 보험사가 이를 활용할 수 있도록 법·제도적 기반을 마련해야 한다"고 말했다. 이를 통해 보험사와 보안기업 간 데이터 공유를 활성화할 수 있단 설명이다.

손재희 보험연구원 실장은 "국내 사이버 보험시장은 리스크를 보험으로 관리한다는 기업의 인지도가 낮아 수요 측면에서 한계가 있다"며 "이러한 인식을 제고하기 위한 제도적 인센티브 역시 충분히 마련되지 않고 관련 데이터도 부족한 상황"이라고 했다.

손 실장은 "행동 유인 모델을 도입하고 지표 표준화와 위험 데이터 인프라를 구축하는 한편 기업이 보험의 가치를 체감할 수 있도록 상품 설계와 서비스 제공 방식을 개선해야 한다"며 "기업의 변화를 이끌어낼 수 있는 경량형 인증제도와 보험을 결합한 모델 도입을 검토할 필요가 있다"고 설명했다.

특히 "사이버 사고 분류·손해·청구 데이터를 표준화해 언더라이팅(보험계약 인수여부 심사)에 활용할 수 있는 기반을 마련하고 기업의 통제 수준 등을 종합 분석할 수 있는 인프라 역시 구축해야 한다"며 "가입자에게 체감 가능한 가치를 제공할 수 있도록 보안교육과 더불어 법률, 포렌식, 통지 등 대응 서비스를 연결해야 할 것"이라고 강조했다.