쿠팡, SK텔레콤(SKT) 등 최근 대규모 정보 유출 사고가 발생한 기업 대부분이 피해자를 구제하는 ‘개인정보유출 배상보험’을 법정 최소 금액으로만 가입한 것으로 파악됐다. 수천만명이 이용하는 기업 규모에 비해 최소 보험 가입금액이 충분하지 않다는 지적이 나온다.
8일 보험업계에 따르면 쿠팡은 메리츠화재의 개인정보유출 배상책임보험에 보장 한도 10억원으로 가입된 것으로 알려졌다. 이는 3370만명의 정보가 유출된 최근 사고에서 쿠팡의 배상 책임이 인정되더라도 보험을 통해 보상받을 수 있는 최대 금액은 10억원이라는 뜻이다. 쿠팡은 현재 메리츠화재에 보험 사고 신고를 하지 않은 것으로 전해졌다.
2300만명의 개인정보 유출 사고가 발생한 SKT 역시 마찬가지다. SKT는 현대해상의 개인정보유출 배상책임보험에 가입했으나 보장 한도는 10억원으로 전해졌다. 다만 SKT는 지난 10월 개인정보유출 배상책임보험과 동일한 기능을 하는 1000억원 규모의 사이버보험에 추가 가입했다고 밝혔다.
개인정보보호법에 따르면 개인정보 유출 시 기업이 손해배상을 하고 이에 대비해 관련 보험에 의무적으로 가입해야 한다. 가입 대상은 전년도 매출액 10억원 이상, 정보 주체 수가 1만명 이상인 기업이다. 기업 규모에 따라 최소 가입 한도는 다르다.
최근 연이은 대규모 유출 사고가 발생하면서 최소 가입 한도가 너무 낮아 실질적 배상 여력을 갖추기 어렵다는 지적이 나온다. 예를 들어 정보 주체 100만명 이상·매출 800억원 초과 구간의 대기업조차 보험 최소 가입 한도가 10억원에 불과하다. 사고 발생 시 실질적으로 피해자 배상을 충분히 하기 어려운 한도다.
제한된 보험 한도로 인해 유출 사고 기업이 배상을 회피하거나 지연하는 부작용이 발생할 수 있다는 우려도 제기된다.
이에 손해보험업계와 손보협회 등은 대규모 정보 보유 기업에 대한 최소 보험가입금액 상향 필요성을 조만간 개인정보보호위원회(개보위) 등에 건의할 것으로 전해졌다. 예를 들어 정보 주체 수 1000만명 이상 또는 매출액 10조원 초과 기업의 최소 가입 한도를 1000억원으로 올려야 한다는 것이다.
업계에서는 보험 미가입 기업에 과태료 부과 등 적극 행정도 필요하다는 목소리가 나온다. 개인정보보호법은 의무보험에 가입하지 않을 경우 시정조치 명령을 내리고, 이를 따르지 않으면 3000만원 이하의 과태료를 부과하도록 하고 있다. 그러나 개보위는 의무보험 가입 대상 파악이 어렵다는 이유 등으로 실제 과태료를 처분한 사례가 없다.
올해 6월 말 기준 개인정보유출 배상책임보험을 취급하는 메리츠·한화·롯데·MG·흥국·삼성·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나 등 15개사의 가입 건수는 약 7000건이다.
개보위는 가입 대상 기업을 약 8만3000~38만개로 추정하는데, 이를 고려하면 가입률은 2~8%에 불과한 셈이다.
권민지 기자 10000g@kmib.co.kr