개인정보관련리스크관리와보험산업 2012. 2. 10 변혜원 보험연구원 1
Motivation IT 의존도, 정보량 Cloud Computing Cyber Insurance 시장 개인정보보호법 Malicious Cyber Attack 2
Road Map Cyber Risk 개인정보유출현황 개인정보보호관련제도 : 국내및해외 해외 Cyber 보험시장 국내 Cyber 보험시장 맺음말 3
Cyber Risk Cyber Risk 는전자상거래또는정보기술을매개로하여이루어지는 활동 ( 일반영업이나운영 ) 에서발생할수있는위험을포괄 Operational Risks Financial Risks Cyber Threats Intellectual Property Risks Legal/Regulatory Risks Reputation Risks 자료 : Lloyds (2010) 4
Cyber Risk 손실손실객체손인 재산손해 S/W( 프로그램 ), 데이터해킹, 바이러스, 프로그램오류 도난, 사기데이터, S/W, 지적재산권종업원, 외부인 당사자리스크 간접손해 휴업에따른수익상실 해킹, 바이러스, 범죄악용, 시스템고장 재화손실 돈의교환에따른손실, 금전적으로 범죄로이용되고있는컴퓨터로부 (extortion) 회사를궁핍하게함 터얻은정보나접근허용 일반적손해 접근의제한, 도난컴퓨터로부터제 3 자정보보호에불충분한장치사용, 바이러스확산 제 3 자리스크 법률배상책임 지적재산권침해 저작권 / 상표권노출, 거래비밀 (R&D, 업무절차, 고객목록 ), 콘텐츠, 광고손해 명예실추, 프라이버시침해, 민감정보의불법적인유통 자료 : 보험연구원용역보고서 (2011) 5
개인정보유출현황 : 국내 금융기관개인정보유출현황 현대캐피탈해킹사건 (2011. 4): 132 만여명의개인정보유출 농협전산망장애 (2011.4): 사건기간동안수수료면제, 카드대금결제연기 등에따른피해액 100 억원 리딩투자증권서버, 한국전자금융홈페이지해킹 (2011. 5) 삼성카드 (2011. 8): 고객개인정보 80 만건유출 하나 SK 카드 (2011.9): 고객개인정보 10 만건유출 6
개인정보유출현황 : 국내 금융회사이외에도 SK Communications 와 Nexon 의개인정보유출사건 은규모가큰사건 < 전세계개인정보 DB 유출사건및기록현황 > 순위 건수 날짜 회사명 1 130,000,000 2009. 1.20 Heartland Payment Systems( 미국 ) 2 94,000,000 2007. 1.17 TJX Companies Inc.( 미국 ) 3 90,000,000 1984. 6.01 TRW, Sears Roebuck( 미국 ) 4 77,000,000 2011.4.26 Sony Corporation( 미국 ) 5 40,000,000 2005. 6.19 Card Systems, Visa, Mastercard, American Express( 미국 ) 6 40,000,000 2011.12.26 Tianya( 중국 ) 7 35,000,000 2011.7.28 SK Communications, Nate, Cyworld( 한국 ) 8 35,000,000 2011.11.10 Steam (Valve, Inc.) ( 미국 ) 9 32,000,000 2009.12.14 RockYou Inc. ( 미국 ) : : : : 18 13,200,000 2011.11.25 Nexon Korea Corp( 한국 ) 자료 : Open Security Foundation(http://www.datalossdb.org) 7
개인정보유출현황 : 국내 유진호, 지상호, 임종인 (2009) 에의하면 2005 년 2007 년사이개인정보 유출사고의누적피해자수는 7 천만명, 손해배상금추정액은약 11 조원 < 국내개인정보유출사고손해배상금추정액 > ( 단위 : 명, 억원 ) 주소정보 주민번호 금융정보 민감성정보 합계 사고수 28 73 28 15 144 피해인원 37,050,968 27,149,916 6,169,484 8,421 70,378,789 배상금 37,048 54,300 18,508 59 109,915 사고당배상금 1,323 743 661 4 763 자료 : 보험연구원 (2011) 재인용, 원자료유진호, 지상호, 임종인 (2009) 주 : 3 개년누적수치 8
개인정보유출현황 : 해외 2006 년이후개인정보유출사건빈도가증가하였으며, 유출정보규모또 한확대되는추세 < 전세계개인정보 DB 유출추이 > ( 단위 : 건 ) PGP/Ponemon 의분석에의하면주요 국의정보유출사고당평균비용은 미국 : 675만달러 영국 : 256 만달러 독일 : 344만달러 프랑스 : 253만달러 호주 : 183만달러 평균 : 343만달러 로추정됨. (2009 년기준, 미국달러로환산 ) 자료 : Open Security Foundation(http://www.datalossdb.org) 9
개인정보유출현황 전세계적으로개인정보유출피해건수및규모가확대되는추세 이러한추세는계속될것이며 Cyber Risk에대한노출은확대될것으로예상됨. 향후디지털정보량의비약적성장과정보활용패턴의변화 클라우드컴퓨팅등컴퓨터를이용한사업의증가 10
국내관련제도 : 개인정보보호법 개인정보보호관련법률 구분공공기관법정보통신망법신용정보법전자금융거래법개인정보보호법 입법일 1994.1.7 2001.1.16 1997.12.31 2007.1.1 2011.3.29 주무부처행정안전부방송통신위원회금융위원회금융위원회행정안전부 적용대상 국가행정기관지방자치단체교육기관기타공공기관 정보통신서비스제공자집적통신시설업자통신과금사업자준용사업자 신용정보업자 전자금융업 공공기관, 민간사업자 ( 정보통신망법, 신용정보법적용대상제외 ) 유출사고보고 정보주체가침해사실신고 ( 행안부 ) 침해사고신고 ( 방통위, 진흥원 ) - - - 정보주체에통지의무화 - 침해사실신고 분쟁해결 개인정보보호심의위원회 개인정보분쟁조정위원회 - 금융분쟁조정위원회, 소비자분쟁조정위원회 개인정보분쟁조정위원회 피해자구제 - - 손해배상청구권인정 ( 입증책임전환 ) - 책임보험가입의무화 - 손해배상책임규정 ( 입증책임전환 ) - 보험가입의무없음 - 손해배상책임 ( 임증책임전환, 책임제한 ) - 보험또는공제가입의무화 - 손해배상책임 ( 임증책임전환, 책임제한 ) - 보험가입의무없음 11
국내관련제도 : 개인정보보호법 개인정보보호법의주요내용 장절조 제 1 장총칙 제 2 장개인정보보호정책의수립등 제3장개인정보의처리 제 4 장개인정보의안전한관리 제 5 장정보주체의권리보장 제 6 장개인정보분쟁조정위원회 제 7 장보칙 제1절개인정보의수집, 이용, 제공등 이용, 제공등를받는방법, 제 2 절개인정보의처리제한 목적, 정의, 개인정보보호원칙, 정보주체의권리, 국가등의책무, 다른법률과의관계 기본계획의수립등, 시행계획의수립, 개인정보보호위원회, 보호위원회의기능, 자료제출요구, 개인정보호보지침, 자율규제의촉진및지원, 국제협력 개인정보의수집 이용, 개인정보의수집제한, 개인정보의제공, 개인정보의제공제한, 개인정보를제공받은자의이용제공제한, 개인정보의파기, 동의를받는방법, 민감정보의처리제한, 고유식별정보의처리제한, 영상정보처리기기의설치운영제한, 업무위탁에따른개인정보의처리제한, 영업양도등에따른개인정보의처리제한 안전조치의무, 개인정보처리방침의수립및공개, 개인정보관리책임자의지정, 개인정보파일의등록및공개, 개인정보의영향평가, 개인정보의유출통지 개인정보의열람, 개인정보의정정삭제, 개인정보의처리정비, 권리행사의방법및절차등, 손해배상책임 (37 조 ) 설치및구성, 위원의신분보장, 위원의제척기피 회피, 조정의신청등, 처리기간, 자료의요청등, 조정전합의권고, 분쟁의조정, 조정의거부및중지, 조정절차 적용의일부제외, 금지행위, 비밀유지, 의견제시및개선권고, 침해사실의신고, 자료제출요구및검사, 시정조치, 고발및징계권고 제 8 장벌칙 12
해외관련제도 : 미국 관련법규 포괄적인개인정보보호법제가제정되어있지않으며다양한개별법과자율규 제를중심으로법적대응이이루어짐. 공공부문 : Privacy Act(1974) 가대표적 민간부문 : Fair Credit Reporting Act(1970), Health Insurance Portability and Accountability Act(HIPAA 1996), Children s Online Privacy Protection Act(1999), Gramm-Leach-Bliley Act(1999) 등 각주별로독자적인제도마련, 민간기업에서의자율규제와가이드라인운영 개인정보유출고지법 (Data Breach Notification Law) 13
해외관련제도 : 미국 개인정보유출고지법 (Data Breach Notification Law) California State Law SB 1386 (2003) 이시작 개인정보유출시구체적인손해배상책임을규정하지않고있으나, 사고시 본인이직접고지하여야하는의무조항때문에개인정보유출관련보험시장 이성장하게되는계기마련 법도입후유출사고통계가급격히증가 < 개인정보유출고지법도입주현황 > ( 단위 : 건 ) 2003 2005 2007 2008 2009 도입한주 1 19 39 45 46 유출사고건수 - 157 446 656 498 14
해외관련제도 : EU EU 지침 : 공공부문과민간부문을포괄적으로규제 개인데이터취급에관해비교적엄격한규정 데이터내용에관한원칙 (6조) 데이터처리의정당성의기준 (7조) 민감성데이터의처리제한 (8조) 데이터주체에제공되지않으면안되는정보 (10,11조) 데이터주체의접근권 (12조) 처리의기밀성및안정성 (16.17조) 집행권한을가지는감독기관의설치 (28조) 각국은개인정보관련법률재정비및보험제도도입 15
해외관련제도 : EU 유럽주요국의개인정보보호법제개요 국가포괄법관련기관 영국 1998 년정보보호법 개인정보위원회 (Information Commissioner s Office) 독일 2001 년연방정보보호법 BfD(Bundesbeauftragter fur den Datenshutz) 프랑스 정보처리, 정보파일및개인의자유에관한 1978 년 1 월 6 일의법률 78-17 호 (2004 년 8 월 6 일의법률제 2004-801 호에의해개정 ) CNIL(Commission nationale de L informatique et des Lobertes) 16
Cyber 보험시장 Managing Cyber Risk Avoiding the risk Retaining the risk Mitigating the risk Transferring the risk 17
Cyber 보험시장 Cyber Insurance (Cyber Risk Insurance): insurance contracts between insurance companies and enterprises or individuals covering financial losses incurred through damage or unavailability of tangible or intangible assets caused by computer or network-related incidents. (Anderson et al., 2008) 18
Cyber 보험시장 : 미국 보장범위 정보손실및유출에대한책임 (liability for loss or breach of the data) 개인정보관리실패에서발생한계약자의배상책임관련변호및합의비용 유출대응을위한개선비용 (remediation costs to respond to the breach) 조사, PR, 고객에대한공지, 신용감시등을포함하는정보유출에따른대응비용 법또는규제에의해징수된벌금및처벌에대한보장 조사, 변호, 벌금및처벌에대한합의관련비용 19
Cyber 보험시장 : 미국 연간수입보험료추정치 2010년연간수입보험료는 8억달러로추정 2009년연간수입보험료는 6억달러 2008년 4.5억 ~5억달러 Pricing 아직초기단계로연성시장형성 최근개인정보유출고지법시행에따라보수적요율산출적용 판매회사 AIG, Chubb, Hiscox, Legion Indemnity Company, Lloyd s, Marsh, St.Paul, Zurich north American Financial Enterprises 등 20
Cyber 보험시장 : EU EU 국가들의경우에도개인정보보호관련배상책임보험시장은초기단계 판매회사 ACE Europe, Hoscox, Lloyd s, Marsh, Park Insurance, Services, Zurich North American Financial Enterprises 등이관련상품취급 최근개인정보유출사고에대한체계적인대책마련하기위해 ENISA(European Network and Information Security Agency) 출범 21
Cyber 보험시장 : 국내 보험상품현황 < 개인정보유출관련주요보험상품현황 > 구분상품명주요보상내용가입대상 전자금융거래배상책임보험 해킹또는전산장애등으로금융거래피해를본고객이입은손해를보상 금융기관및전자금융업자 의무보험 공인전자문서보관소배상책임보험 전자문서보관등의업무수행과관련하여위법한행위로이용자에게손해를입힌경우손해를보상 공인전자문서보관소 집적정보통신시설사업자배상책임보험 집적정보통신시설의멸실, 훼손, 그외운영장애로발생한피해를보상 집적정보통신시설사업자 개인정보유출배상책임보험 보험에가입한기업이개인정보유출을당한가입고객으로부터손해배상청구소송을당했을때발생하는손해를보상 온라인쇼핑몰등고객정보를다루는업종 임의보험 e-biz 배상책임보험 피보험자의인터넷및네트워크활동에기인하여타인에게손해를가함으로써피보험자가제 3 자에게부담하여야할법률상의손해를보상 온라인쇼핑몰및인터넷개발업자등 22
Cyber 보험시장 : 국내 보험실적 국내에는전자금융거래배상책임보험, 개인정보유출배상책임보험, e-biz배상책임보험등금융회사의디지털리스크전가상품이있으나담보금액이낮거나가입률이매우저조 < 원수보험료 > 연도 전자금융거래배상책임보험 개인정보유출배상책임보험 단위 : 천원 e-biz 배상책임보험 전자금융거래배상책임보험 : 4 년 누적보험료는약 48 억원 2005-681,616 684,647 2006 94,000 1,045,633 651,831 2007 1,654,830 779,760 318,793 2008 1,427,701 783,975 210,023 2009 1,589,297 648,819 293,843 합계 4,765,828 3,939,803 2,159,137 개인정보유출배상책임보험 : 5년누적보험료는약 39억원 E-Biz 배상책임보험 : 5년누적보험료는약 22억원 자료 : 회사자료, 보험연구원 (2011) 에서재인용 23
Cyber 보험활성화방안 Cyber 보험활성화의장애요인 (ENISA, Bohme, Majuca et al.) 양질의계리데이터부족 리스크관리자, 고위경영진의해당리스크에관한인식부족 사이버손실에대한계량화의어려움 사이버손실에대한설명의불확실성 ENISA(2008) 은의무보험제도도입, 정부재보험, 보험료차별금지, 금 융시장에사이버리스크전가수단의확충, 보험가입유도를위한인프라 구축등을제안 24
Cyber 보험활성화방안 국내 Cyber 보험시장활성화의장애요인 Cyber Risk 또는개인정보유출리스크에대한인식부족 배상금지급사례가드묾. 배상을받기위해피해여부를소비자가입증해야함. 피해자의보험금직접청구권이인정되나보험금을받기위해서는가해자의귀 책사유와손해와의인과관계를입증해야함. 2011 년제정된개인정보보호법은정보주체에게정보유출사실을통보하 도록되어있어배상청구가용이해질전망 25
Cyber 보험활성화방안 제도적활성화방안 Cyber Risk 관리인식제고및홍보강화 자율적관리를통해최소의개입으로리스크관리효율성확보 법제화에의해가입강제 공시제도활용 기업의 Cyber Risk 관리수준을공시하여소비자가확인할수있도록하고 기업에게도리스크관리유인제공 26
Cyber 보험활성화방안 민영보험회사의역할 사이버리스크배상책임보험제도에적극적으로참여 민영보험회사의전문성활용 해당리스크관리를위한다양한상품개발 손해사정기법개발 리스크분산기법의다양화등을통해구체화 경제적인보험요율제도제공 27
감사합니다 28
참고 개인정보유출추이 : 해외 < 전세계개인정보 DB 유출사건및기록현황 > ( 단위 : 건, 개 ) 2001 2003 2005 2007 2009 유출사건 17 14 140 489 436 유출정보 199,674 7,055,450 55,988,256 165,192,571 218,756,349 건당유출정보 11,745 503,960 399,916 337,817 501,734 자료 : Open Security Foundation(http://www.datalossdb.org) 29
참고 < 미국의개인정보유출추이 > 자료 : Anderson et al. (2008) 주 : a) TJX Inc, b) Cardsystems, c) America Online 30
참고 보험가입활성화방안 < 보험미가입이유 > 자료 : 보험연구원 (2011) 31
참고 보험가입활성화방안 < 가입활성화방안 _ 공공기관, 기업체 > 자료 : 보험연구원 (2011) 32