[서울이코노미뉴스 박희만 기자] 쿠팡과 SK텔레콤 등 대규모 개인정보 유출사고를 일으킨 기업들이 법정 의무보험인 ‘개인정보 유출 배상책임보험’에 최소금액만 가입해 온 것으로 확인됐다.
비용절감을 위해 피해 수습 책임을 사실상 방기해 왔다는 비판이 제기된다.
8일 손해보험업계에 따르면 3370만명의 고객 정보가 유출된 쿠팡은 메리츠화재의 개인정보 유출 배상책임보험에 가입해 있으나, 보장한도는 최저 수준인 10억원에 불과하다.
이번 해킹으로 고객 피해가 현실화될 경우, 쿠팡이 보험사를 통해 받을 수 있는 보상금 역시 최대 10억원에 그친다. 쿠팡은 아직 보험사에 사고 접수를 하지 않은 것으로 전해졌다.
현행 개인정보보호법은 전년도 매출 10억원 이상, 관리 정보주체 1만명 이상인 기업에 개인정보 유출 배상보험 가입을 의무화하고 있다.
그러나 기업 규모에 상관없이 최소 가입금액이 5000만~10억원 수준에 머물러 실효성이 떨어진다는 지적이 꾸준히 이어져 왔다.
2300만명 규모의 정보 유출사고를 낸 SK텔레콤 역시 현대해상의 동일보험에 가입해 있으나, 보장한도는 최소 금액인 10억원이다.
아울러 유심 교체 등 긴급 대응비용을 충당할 수 있는 ‘위기관리 실행비용 특약’도 가입하지 않았던 것으로 알려졌다.
이처럼 대규모 사고에 비해 보험한도가 지나치게 낮아 현실적인 보상기능을 하지 못한다는 비판이 커지고 있다.
손해보험업계를 중심으로 대기업의 최소 가입금액을 최대 1000억원 수준까지 상향해야 한다는 의견도 제기되고 있다.
다만 개인정보 유출 피해규모를 정량적으로 산정하기 어려운 만큼, 배상보험의 한계가 존재한다는 반론 역시 나온다. 보험 구조상 실제 피해액 확정후 지급이 이뤄지지만, 개인정보 유출피해는 금액화하기 어려운 특성이 있다는 것이다.
올해 6월 말 기준 개인정보 유출 배상책임보험을 취급하는 보험사는 15곳이며, 전체 가입건수는 약 7000건으로 나타났다.
개인정보보호위원회가 추산한 가입기업은 대상기업 규모(약 8만3000~38만개)의 2~8% 수준에 불과해 가입률이 매우 저조한 실정이다.
개인정보위는 지난달 ‘개인정보 손해배상책임 보장제도 합리화 방안’을 발표하며 의무가입 대상을 기존 수백 곳에서 약 200곳 수준으로 축소하고, 보장범위를 확대하는 개편안을 내놓았다.