FOCUS 1 국내정보보호보험시장활성화방안에관한 정책제언 배병환 * 민경식 ** 해킹, APT( 지능형지속위협 ) 공격등사이버공격으로인한기업들의내부기밀및개인정보유출등의피해사고가증가함에따라사이버위협에대한리스크분산효과가큰정보보호보험의중요성이커지고있다. 하지만국내의경우, 사전연구부족등시장육성을위한기반이제대로마련되어있지않아정보보호보험시장활성화가이루어지지않고있는상황이다. 이에본고에서는정보보호보험의등장배경과필요성, 국내외정보보호보험시장현황을살펴보고, 이를통해정보보호보험시장활성화를위한방안을모색해보고자한다. Ⅰ. 서론 Ⅱ. 정보보호보험의등장배경및필요성 1. 정보보호보험의등장배경 2. 정보보호보험의필요성 Ⅳ. 국내정보보호보험시장현황 1. 국내정보보호보험시장개요 2. 국내정보보호보험상품 Ⅴ 정보보호보험시장활성화를위한제언 Ⅲ. 해외정보보호보험시장현황 1. 미국정보보호보험시장 2. 일본정보보호보험시장 3. 유럽정보보호보험시장 * 한국인터넷진흥원정책기획팀주임연구원 (bbh0113@kisa.or.kr) ** 한국인터넷진흥원정책기획팀경제학박사 / 수석이코노미스트 (kyoungsik@kisa.or.kr) 6
Ⅰ. 서론 FOCUS 최근 DDoS, APT( 지능형지속위협 ) 공격등사이버위협이복잡 지능화됨에따라고객정보를비롯하여기업내기밀데이터유출과같은사이버보안사고가연이어발생하고있다. 2008 년옥션의개인정보유출사건을시작으로, 2011 년 SK커뮤니케이션즈, 2012 년 KT 등사이버공격으로인한피해기업이매년속출하고있다. 현재개인정보유출사고를경험한이용자들은피해기업을대상으로대규모집단손해배상청구소송을진행중에있으며, 특히올해 2월 SK커뮤니케이션즈의경우 1), 법원으로부터개인정보유출피해자들에게 1인당 20만원의위자료를지급하라는판결을받아약 5억 7,000 만원의배상금액이발생하기도했다. 만약 3,500 만명의개인정보유출피해자전원이소송을진행했다면약 7조원의위자료를지급할수도있었던큰사건이었다. 이처럼사이버공격으로인한피해는기업의존폐를결정할정도로막대한금전손실을줄수있는상황이되고있다. 또한, 피해기업들의신뢰저하와함께영업매출감소로이어지는직접적인피해와더불어정보유출피해자들의정보를활용한보이스피싱, 스팸메일발송등의 2차피해까지고려한다면피해비용은천문학적수준에이를것으로판단된다. 잠재적위협에따른피해를분산하고자만들어진제도가보험이다. 그리고이러한보험은사이버위협의특성상리스크를완전히제거하지못하는기업들의피해부담을덜어주는데큰역할을할수있다. 1990 년대후반부터미국을시작으로주요선진국에서는사이버공격으로인한피해발생의위험을대비한정보보호보험시장이형성되어, 정보보호서비스산업의중요한부분을차지하고있다. 하지만국내의경우, 기업들의정보보호보험필요성에대한인식부족으로인한정보보호보험수요저조 2) 로관련보험시장이활성화되지못하고있는것이현실이며, 명확한피해산정기준등정보보호보험시장육성을위한기반이전무한상태이다. 정보보호보험 3) 이란해킹 디도스 시스템장애등사이버침해사고로발생한유 무형의피해에대한보상및정보시스템의파손, 데이터의멸실등에따른손해, 정보유출등에따른제3자에대한배상책임보장을목적으로하는보험으로정의할수있다. 향후사이버공격사고의증가와함께정보보호보험의중요성이더욱더커질것으로예상된다. 관련연구를 1) 2011 년 7월에발생한네이트 싸이월드해킹사건은중국에거주하는것으로추정되는해커가 SK커뮤니케이션즈서버에침입해회원개인정보 3,495 만4,887 건을유출한역대최대규모의개인정보유출사고다. 2) 이데일리, 대형정보유출사고에도보험가입은저조, 2012.8.10 자보도. 3) 그밖에도 네트워크ㆍ정보보호보험, 사이버보험, 해커보험 등다양한명칭이사용되고있다. 7
살펴보면, 보험개발원 (2012) 과보험연구원 (2012) 자료가유일한국내연구자료로이분야에 대한연구도시급한상황이다. 이에본고에서는정보보호보험의등장배경과필요성을 살펴보고비교적정보보호보험시장이활성화되어있는미국, 일본등주요선진국현황을통해 국내정보보호보험시장활성화를위한방안을모색해보겠다. Ⅱ. 정보보호보험의등장배경및필요성 1. 정보보호보험의등장배경 역사가긴보험업계에있어정보보호보험은비교적최근에등장한보험으로, 1990 년대후반에등장했다. 당시기업은고객정보나기업기밀정보등대량의데이터를전자적으로관리하게되었고, 인터넷을상업수단으로널리활용함에따라각종사고나범죄등에의한금전적손실에대해보험과같은보호책을필요로하였다. 하지만기존의보험으로는인터넷공간에서발생하는사고에대비하기위해불충분한점이많았고, 이때문에정보보호를대상으로하는특화된보험의필요성이제기됨에따라정보보호보험이개발되기에이른다. 재보험회사스위스리 (Swiss Re) 는 2000 년에발표한보고서 e-비즈니스가보험업계에미치는영향 : 변혁에대한압력과찬스 (The impact of e-business on the insurance industry: Pressure to adapt. chance to reinvent) 에서 e- 비즈니스에수반하는리스크의특징과새로운타입의보험 ( 정보보호보험 ) 이필요하다 고지적하고, e-비즈니스에수반하는리스크를다음의 4가지로정의했다. 종류 기술적리스크 < 표 1> e- 비즈니스에수반하는리스크종류 내용 - e- 비즈니스기술성장에따른기술적결함 ( 정전, 시스템불안, 바이러스감염이나해커의공격등 ) 배상책임에관한리스크 신용및재정면의정보보호에관한리스크 사업상의리스크 - e- 비즈니스로인해, 배상책임의리스크증가 인터넷을통해발생하는여러문제에대해인터넷은국경이없다는특성을고려해각국의다른법률에대응할필요가있음 특히소비자보호에관한법률등은국가에따라다양함 개인정보의보호는한층더주의할필요가있음 ( 소비자의신뢰를잃는것외에배상책임이거론될가능성도있음 ) - 기업간전자상거래에서발생할수있는리스크 - 아웃소싱이진행됨에따라발생하는리스크 8
2. 정보보호보험의필요성 최근사이버공격의특징은특정목적을위하여일정한대상을지속적으로공격하는 APT FOCUS 공격이주를이루고있으며, 이러한 APT 공격은 2012 년대비 42% 나증가 4) 하여기업들에게 막대한피해를입히고있다. 또한지난 2010 년시만텍은 핵심기반시설보호현황 (Critical Infrastructure Protection Survey, CIP) 보고서를통해국내기업 100 개사등전세계 1,580 여개 기업의 53% 가지난 5 년간평균 10 번의사이버공격을받았으며, 평균피해규모는약 9 억 8,000 만원에달한다고밝혔다. 사이버공격으로인한개인정보유출사건도지속적으로증가하고있다. 보험개발원은 우리나라개인정보유출사고가지난 2011 년 5,030 만명, 2012 년 1,292 만명으로연평균 3,160 만 명에이른다고밝혔다. 5) 이렇게유출된개인정보는개인명의도용등을통한 2 차피해가 발생되고, 이러한 2 차피해까지고려할경우막대한피해비용이발생할것으로예상한다. 실제로 2008 년한국인터넷진흥원은개인정보유출피해로 2006 년기준한해 1 조 3 천억원의 피해액이발생했다고밝힌바가있다. 6) < 표 2> 개인정보유출사고사례 일시기업유출된회원수내용 2008 년 1 월옥션 1,800 만명해킹사고 2008 년 4 월 하나로텔레콤 ( 현 SK 브로드밴드 ) 600 만명내부유출 2008 년 9 월 GS 칼텍스 1,125 만명내부유출 2011 년 7 월 SK 컴즈 3,500 만명해킹사고 2011 년 11 월넥슨 1,320 만명해킹사고 2012 년 5 월 EBS 400 만명해킹사고 2012 년 7 월 KT 870 만명해킹사고 2013 년 6 월청와대 10 만명해킹사고 출처 : 서울경제, 정보유출피해배상못받았지만개인정보관리경각심일깨웠다, 2013.5.13 자보도기사재구성 정보보호의특성상사이버공격으로인한피해액을정확히산정한다는것은그리쉬운일이 아니다. 사이버공격으로발생하는피해비용을크게직접비용과간접비용으로구분하여다음과 같이분류할수있다. 4) 파이낸셜뉴스, 지난해사이버표적공격 42% 증가.. 사이버공격빠르게진화, 2013.04.17 자보도. 5) 조선비즈, 보험개발원, 개인정보보호보험수요급증대비상품개발해야, 2013.01.31 자보도. 6) 뉴스웨이, [ 국감 ] 정보보호피해액한해 3 조원, 정보보호전문가 346 명뿐, 2008.10.14 자보도. 9
1 차분류 직접비용 2 차분류 명시적비용 잠재적비용 피해요소 침해사고대응비용 법적책임비용 피해항목 침해사고공포비용법적대응준비비용콜센터운영비용 비해보상비용 ( 과태료등 ) 사이버침해사고피해액 간접비용 명시적비용 잠재적비용 침해사고예방비용 무형자산손실비용 침해방지시스템도입 브랜드가치하락주가하락 < 그림 1> 개인정보침해사고피해액의분류 출처 : 한국인터넷진흥원 (2009), 07 년도개인정보침해사고로인한경제적피해규모분석 직접비용의경우, 사이버침해사고로인한사고공지비용 7), 자문비용, 콜센터운영비용 8), 보상서비스제공비용등의침해사고대응비용과과태료등의법적책임비용을포함하며, 간접비용의경우, 침해방지시스템도입및운영비용등의침해사고예방비용과사고에따른기업이미지손상, 주가하락등의무형자산손실비용을포함한다. 그러나개인정보유출피해액을정량적으로산출하기위해피해액의직접산출이가능한직접비용을중심으로고려할뿐기업이미지손상에따른브랜드가치하락등계량화가어려운무형자산손실비용과고객의신뢰도측정비용, 시스템보완및교체비용등침해사고이후에소요되는침해사고예방비용등의간접비용은제외한체피해액을산출하고있어정확도가떨어지는문제가발생하고있다. 이러한문제점은결국개인정보유출로인한개인별피해보상액과기업들의피해복구비용의정화한산출을어렵게함으로써보험사들의정보보호보험상품개발이나사이버침해사고관련소송에따른손해배상판결에영향을미치는문제점을유발한다. 9) 7) 우편및이메일, 웹사이트신문등의공지비용. 8) 법률및회계자문, 콜센터직원의시간당임금기준으로산출. 9) 예를들어, GS칼텍스를대상으로한개인정보유출손해배상소송에대해대법원은 " 새어나간정보가성명, 주민등록번호, 전화번호등개인식별정보일뿐경제적이익을침해할정보에해당하지않는다 " 며피해자들의손해배상소송을기각했고, 특히개인식별정보가피해자에게금전적피해를입혔는지에대해입증되지않는다는결론을내린바있다. 10
< 표 3> 개인정보유출사고위자료금액 구분유출정보기업과실위자료 옥션성명, 주소, 결제정보, 주민번호과실없음없음 FOCUS 다음 메일내용 과실없음 없음 GS칼텍스 성명, 주소, 이메일 과실없음 없음 네이트 성명, 아이디, 비밀번호, 주민등록번호, 연락처 과실있음 1인당 20 만원 출처 : 차건상 (2011), 개인정보유출에따른손해배상액산정기준에관한연구, 재구성 2013 년 7월미국싱크탱크국제전략문제연구소 (CSIS) 는 사이버범죄와사이버스파이행위의경제적영향 (The Economic Impact of Cybercrime and Cyber Espionage) 보고서를통해미국경제가사이버범죄로인해연간 111 조원의손실이발생하고있으며, 이러한피해는연간 50만명의일자리가없어지는피해규모와같다고밝혔다. 이처럼사이버공격이개인과기업을넘어국가차원의대규모피해를양산하고있는현실을감안할때정보보호보험의역할이그어느때보다중요한시점이다. Ⅲ. 해외정보보호보험시장현황 1. 미국정보보호보험시장미국의정보보호보험시장규모는 2011 년연간보험료기준 8억달러 (2010 년 6억달러 ) 로추산 10) 되고있으며, 2003 년개인정보유출고지법 (Data Breach Notification Law) 을도입한이후부터보험시장의급속한성장이시작됐다. 특히개인정보유출고지법내사업자들의정보유출시통지의무조항으로인해법시행이후개인정보유출사고통계가급격히증가하였으며, 이중실제사고가발생한기업의경우주가가크게하락하는사태가발생하기도했다. 11) 현재정보보호보험의구체적인보상내용은보험회사에따라각기다르지만, 일반적으로다음과같은내용이정보보호보험의보상범위가되고있다. 10) BRC(2011), THE BETTERLY REPORT, CYBER/PRIVACY/MEDIA LIABILITY MARKET SURVEY-2011. 11) 2009 년 3 월결제대행업체 Heartland Payment Systems 의경우, 개인정보유출로사건발생당시 14 달러였던주가가 4 달러까지하락. 11
범위 데이터손실이나파손 사업방해 < 표 4> 정보보호보험대상 내용 바이러스, 악성코드, 트로이목마등의사이버공격으로기업이보유하고있는개인정보및데이터유출피해액 사이버공격으로발생한사업운영피해액및관련조사를위한경비 홍보활동 배상책임 사이버공격피해기업의이미지개선을위한홍보비용 개인정보의유출, 지적재산의침해등을이유로소송에서배상책임이거론되었을경우발생하는비용 출처 : 미국보험사상품을바탕으로정보보호보험대상을재구성 이외에도피해기업이해커등으로부터협박을받았을경우합의를위해필요한합의금등기업들이사이버공격을받으면서발생하는다양한상황에대한보상을마련하고있다. 정보보호보험의보상은크게당사자 (first party) 리스크와제3자 (third party) 리스크로구분해서적용된다. 당사자리스크란, 기밀정보나고객정보의절도, 피보험자자산 ( 소프트웨어, 하드웨어, 데이터등 ) 의파손, 해커로부터의협박등에의한피보험자리스크를가리킨다. 반면, 제3자리스크란, 피보험자의데미지가직접적또는간접적으로제3자에게피해를끼쳤을경우발생하는리스크 12) 를의미한다. 현재미국에서는컴퓨터관련직접적인손해외에개인정보유출, 사생활침해등으로발생하는배상책임을보장하는인터넷배상책임보험 (Internet Liability Insurance) 과네트워크시큐리티보험 (Network Security Insurance) 상품등이운영되고있다. 구체적인보험상품으로는 CNA(Continental National American Group) 보험사의 CNA 넷프로텍트 (NetProtect), CHUBB 보험사 (Chubb Group of Insurance Companies) 의사이버시큐리티 (Cyber Security), AIG 보험사의사이버에지 (CyberEdge), 필라델피아보험사 (Philadelphia Insurance Companies) 의사이버시큐리티배상책임보험 (Cyber Security Liability) 등다양한상품이판매중에있다. 1) CNA(Continental National American Group) 보험사 2007 년 1월미국손해보험사 CNA 는네트워크보안관련보험상품넷프로텍트 (NetProtect) 시리즈 13) 를출시했다. 금융, 제조, 통신, 기술등다양한분야에서연매출 15억달러이상의대형사업자만을가입대상으로하고있는대기업대상상품넷프로텍트와연매출 1억달러이하의사업자만을 12) 컴퓨터바이러스가제삼자에게전염되어버렸을경우, 해커공격으로인해피보험자의배달시스템이정체되어, 계약대로상품을배달할수없었던경우, 피보험자의웹사이트에저작권침해등의콘텐츠가포함되어있었을경우발생하는배상책임등. 13) 넷프로텍트상품시리즈는미국내서비스제공으로한정하고있다. 12
가입대상으로하는중소기업대상상품넷프로텍트이센셜 (NetProtect Essential) 로구분해 판매하고있다 14). 보험당사자및제 3 자모두보험적용대상자이며넷프로텍트와넷프로텍트 이센셜상품의경우, 각각 1,000 만달러와 200 만달러의보상한도를가지고있다. FOCUS < 표 5> CNA 보험상품 대상보상범위내용 넷프로텍트이센셜 (NetProtect Essential) 출처 : CNA 넷프로텍트 (NetProtect) 개인정보유출피해비용 (Privacy Injury and Identity Theft) 네트워크손상 (Network Damage) 개인정보보호법규위반에따른배상 (Privacy Injury Liability) 보안피해배상 (Security Liability) 콘텐츠피해 (Content Injury Liability) 업무상발생하는손해배상 (Professional Liability) 보안대응비용 (Extortion) 전자시스템피해 (Electronic Theft) 네트워크피해복구 (Network Loss or Damage) 기업매출손실 (Business Interruption) - 개인정보유출에따른비용보상 - 개인정보보호법률또는정책위반에따른비용보상 - 네트워크데이터손상 도난에따른피해보상 - 보험가입당사자의네트워크접근제한상황발생에따른피해보상 - 개인정보보호규정위반에따른피해보상 - 개인정보보호위반통지비용보상 - 보험가입당사자와제 3 자의네트워크접근제한상황발생에따른피해보상 - 저작권, 상표권, 명예훼손등과관련된배상책임보상 - 통신오류발생에따른피해보상 - 네트워크공격대응비용보상 - 피해기업의네트워크를통해발생한금전피해보상 옵션을통해무형자산까지포함가능 - 피해를입은네트워크복구비용보상 - 보안사고로인한매출손실보상 2) CHUBB(Chubb Group of Insurance Companies) 보험사 2009 년 10월글로벌보험그룹 CHUBB 은정보보호보험상품 사이버보안보험 (CyberSecurity by Chubb) 을출시했다. 이보험은데이터유출등보안사고에대한손실을보상하는보험으로영리단체를가입대상으로한다. 또한보험당사자와제3자모두보상해주나당사자보험의경우옵션사항에포함하고있다. 14) 중소기업대상상품인넷프로텍트이센셜은대기업대상상품인넷프로텍트상품에비해배상한도와보상범위가작다. 13
< 표 6> 사이버보안 (CyberSecurity by Chubb) 보험상품 대상보상범위내용 당사자 (First Party) 보호 - 옵션사항 제 3 자 (Third Party) 보호 개인정보유출통지비용 (Privacy notification expenses) 위기관리및대응비용 (Crisis management and reward expenses) 서비스장애보상 (E-business interruption) 전자통신피해보상 (E-theft and e-communication loss) 피해복구보상 (E-threat) 전자기물파손비용 (E-vandalism expenses) 개인정보유출피해비용 (Disclosure injury) 콘텐츠피해 (Content injury) 기업평판실추비용 (Reputational injury) 시스템피해비용 (Conduit injury) 시스템접속오류피해 (Impaired-access injury) 출처 : Chubb Group of Insurance Companies - 보안사고통지, 고객모니터링및복구비용 - 사이버위협관리및피해보상관련컨설턴트비용 - 보안사고로인한서비스장애손실보상 - 외부시스템과의네트워크단절에따른피해보상 - 피해복구협상관련비용보상 - 내부직원에의한전자기물파손보상 - 개인정보에대한비승인접속혹은배포에대한소송비용 - 지적재산권, 상표및저작권위반에대한소송비용 - 제품이나서비스비방, 명예훼손등프라이버시침해에대한소송비용 - 제 3 자시스템에피해에대한소송비용 - 고객의시스템접속실패피해에대한소송비용 3) AIG(American International Group) 보험사 2012 년 6월 AIG 는사이버위협을다각적으로보장하는종합배상보험상품 사이버에지 (CyberEdge)' 를출시했다. 15) 최소연매출 10만달러이상의영리단체를가입대상으로하고있으며, 개인정보는물론기업정보유출로발생한법적배상책임과관련부대비용까지모두보장하고있다 16). 보험대상은보험당사자와제3자이며, 개인과기업단위의보안사고를보상 ( 추가옵션선택통해보상범위확대가능 ) 하고있다. 15) AIG 는이미 2000 년 1 월부터 e 비즈니스리스크솔루션을제공해왔으며, e 비즈니스리스크솔루션의보상범위를강화한 사이버에지를출시 16) 보상액의경우, 1,000 만달러의한도를가지고있다. 14
< 표 7> 사이버에지 (CyberEdge) 보험상품 대상보상범위내용 기본사항 부가서비스 옵션사항 출처 : AIG 개인정보유출피해비용 (Personal Data Liability) 기업정보유출피해비용 (Corporate Data Liability) 외주업체피해비용 (Outsourcing) 보안의무위반및직원과실에따른피해비용 (Data Security) 피해복구관련부대비용 (Defence Costs) 피해조사비용 (Data Administrative Investigation) 정부법규위반비용 (Data Administrative Fines) 정보유출통지비용 (Notification & Monitoring Costs) 기업평판복구비용 (Repair of the Company s and Individual s Reputation) 콘텐츠관련피해비용 (Media Content) 피해원인규명비용 (Cyber Extortion) 피해기업매출손실비용 (Network Interruption Insurance) 피해기업복구비용 (Data Crisis Response Services) - 개인정보유출로인한법적배상책임및관련부대비용보상 - 기업정보유출로인한법적배상책임및관련부대비용보상 - 외주업체의정보유출또는기업의정보보안관리기준위반으로발생한배상책임보장 - 해킹, 바이러스등사이버공격에의한사고뿐만아니라내부직원또는제 3 자의과실, 태만, 고의적인정보유출로인한손해보상 - 사이버사고감독당국에의해발생하는모든민 형사소추에대한부대비용 - 정보보호관련기관의조사와관련된법률자문료및법정대리인선임비용 - 정보보호규정위반으로발생한벌금비용 - 정보유출사고발생시피해자에대한통지및모니터링비용 - 피해기업및개인의명성회복에지출되는비용 - 콘텐츠저작권, 상표권침해등과관련된배상책임및부대비용 - 사이버공격원인규명에따라발생하는관련부대비용 - 사이버공격으로인한영업손실, 매출피해액등을보상 - 피해기업의경영위기극복을위해법률회사및 PR 회사등각분야의전문가들과연계해자문서비스를제공 FOCUS 4) 필라델피아보험사 (Philadelphia Insurance Companies) 2010 년 1월필라델피아보험사는정보보호보험상품 사이버보안배상책임보험 (Cyber Security Liability) 을출시했다. 가입대상은금융기관, 신용카드업체, 온라인게임업체및연수익 2억 5,000 만달러이상의기업을제외한공공및민간부문, 비영리조직등이며, 당사자와제3자모두, 디지털자산손실, 사업중단에따른피해액, 개인정보보호위반에따른배상책임및피해복구비용등이보호대상이된다. 피해보상액은 500 만달러한도내다. 15
2. 일본의정보보호보험시장 17) 2003 년 5 월 개인정보보호에관한법률 ( 개인정보보호법 ) 이제정 공포되어사회적으로 개인정보취급에관한의식이급속히높아졌다. 사업자들은자신들이보유하고있는개인정보를유출할경우, 피해자에게채무불이행책임또는불법행위책임에의한손해배상책임을지게되는데, 이경우사업자들은기업이미지저하로인한매출하락으로이어져큰피해를받게된다. 고객을포함한모든이해관계자는사업자가사업활동을하기위해다수의개인정보를취급하는일이불가피하므로, 법령을준수하여개인정보를취급하고적절한리스크관리를해야한다는점을요구하고있다. 이러한상황에입각하여사업자가개인정보를취급하는데있어리스크에대응하는차원으로정보보호보험이출시되었다. 일본의정보보호보험시장은정보보호서비스시장의약 2~3% 를차지하고있으며정보보호보험시장규모는 2011 년기준약 72억엔정도로추산하고있다. 18) < 표 8> 정보보호보험시장규모 시장규모 08년도 09년도 10년도 11년도 정보보호보험시장 7,591 7,377 7,234 7,244 정보보호서비스시장 347,587 324,964 309,983 292,840 정보보호시장 719,250 682,061 664,199 648,326 출처 : 일본 IPA(2012) 정보보호백서. 일본의정보보호보험상품은크게해킹등침해사고로인한개인정보취급사업자보험 19) 과 IT 정보보호손해보험으로구분할수있다. 개인정보취급사업자보험의경우, 대형 IT업체를대상으로한보험상품과중소기업을대상으로한단체보험이판매되고있으며, 이중단체보험은개인정보유출보험 20) 이란명칭으로일본상공회의소및지방상공회의소의회원을대상으로판매되고있다. 단체보험은단체할인보험료를적용하며개인정보보호법에대응한리스크진단서비스를무료로제공하고있으며, 중소기업의개인정보유출리스크를줄이는데기여하고있다. 17) 손해보험협회 (2009), 일본의손해보험시장에서의상품동향 을참고. 18) 2006 년 70억엔규모로급속히팽창하였으나, 2008 년 76억엔이후지속적으로감소하고있는추세. 19) 보험사에따라가입대상, 업종등매우정교하게나누어져있는경우도있음. 20) 개인정보유출보험은배상책임부분과비용손해부분으로구성되며피보험자에게보험기간중일본에서손해배상청구가이루어진경우에만보상하고있다. 16
< 표 9> 정보보호보험종류 21) 보험종류가입대상보상내용 IT 관련정보보호손해보험 - 정보서비스제공 - S/W 개발 - ISP - 콘텐츠서비스제공자 - 어플리케이션서비스제공자등 - IT 를활용하는제조업, 운송업, 학교등 - 데이터손실파괴 - 시스템, 네트워크중단 사용불능 - 정보유출 - 저작권침해 - 프라이버시침해등 FOCUS 개인정보취급사업자보험 - 개인정보를취급하는모든사업자및개인 - 개인정보 DB 해킹 - 개인정보기록물 ( 서류, PC, CD 등 ) 도난, 분실 - 고객메일송부실수등 1) 아이오이손보 2004 년 6월아이오이손보는개인정보를취급하는사업자들을대상으로개인정보유출배상책임보험을출시했다. 개인정보유출사고로인한손해배상금이나변호사선임비용등의소송비용을지급하며, 개인정보유출피해자본인에대한위로품제공, 신문등에사죄광고를할경우에필요한비용등과같은초기대응비용도보상한다. 특히네트워크정보기기에서유출된전자데이터의개인정보뿐만아니라, 종이데이터 ( 개인정보가기재된신청서 ) 등도보상대상이된다는특징이있다. 비용항목 광고선전활동비용 위로금 위로품구입비용 법률상담비용 컨설팅비용 < 표 10> 개인정보유출배상책임보험비용의내용 내용 - 개인정보유출로인한브랜드이미지를회복하거나실추를방지하기위한광고선전활동에필요한비용 단개인정보유출에대해사의를표명하기위한사고 ( 社告 ) 또는개인정보유출재발방지대책또는 위기관리개선을실시하기위한선전이나광고비용에한함 - 개인정보가유출된개인에게사죄하기위해지급하는위로금이나송부하는위로금비용 - 위로금 위로품구입비용은개인정보 1 건 ( 본인과가족의개인정보를합하여 1 단위로구성된경우에는 1 건으로간주한다 ) 당 500 엔을한도로하고, 동사 ( 同社 ) 가미리승인한것에한한다. 위로품에는기명피보험자만이사용가능한상품권, 서비스권, 할인권, 티켓, 회수권등이있음 - 개인정보유출에대응하기위해법률사무소또는변호사에게지급하는상담비용. 법률상의손해배상을청구하는것또는청구된것에기인하는비용은제외 - 개인정보유출사실등에대한확인혹은조사를하기위해, 또는개인정보의회수혹은광고선전활동의방법을책정하기위해제 3 자인컨설턴트를기용한경우발생하는비용. 단, 동사가미리승인한것에한함 21) 보험사에따라가입대상과보상내용이정교하게나누어져있음. 17
- 개인정보유출의직접적인결과로서또는개인정보유출의영향을방지혹은경감시키려고하는피보험자의노력에직접기인하여피보험자가실제로입은손해로, 다음중어느하나에해당하는비용. 사고대응비용 1 전화, 팩스, 우편등에의한통신비용 ( 문서작성및봉투값을포함 ) 2 통신업무소비자상담콜센터회사에위탁하는비용 3 사고대응에의해발생하는인건비중통상적으로필요한인건비를초과한부분 4 사고에대응하기위해발생하는출장비및숙박비 5 사고원인조사비용 6 타인에게손해배상청구를제기함에따른쟁송비용 출처 : 손해보험협회 (2009), 일본의손해보험시장에서의상품동향. 2) 손보재팬 2004 년 3월손보재팬은일본최초로개인정보를취급하는사업자를대상으로개인정보를취급하는데있어발생하는리스크에대해폭넓게보상을종합화한상품인개인정보취급사업자보험을출시했다. 22) 개인정보취급사업자보험은정보처리사업자에한정하지않으며개인정보를취급하는많은사업자를대상으로, 만의하나개인정보를유출한경우나유출할우려가생긴경우에신속히그해결에나설수있도록사업자가부담하는여러가지손해를보상한다. 보험상품특징으로는제3자에대한손해배상, 브랜드보호비용 ( 개인정보를유출한사업자가기업브랜드가치를방어하기위해지출하는사죄광고비등 ) 을보상하며, 개인정보보호법에서규정하는개인정보취급사업자 ( 개인정보의취급건수가 5,000 건을넘는사업자 ) 에한하지않고, 개인정보를취급하는대부분의사업자가가입할수있다는특징이있다. < 표 11> 보험료납입예시업종연간매출보장한도액연간보험료 IT 사업 ( 호스팅 ) 5천만엔 1억엔 508,400 엔 제조, 건설, 소매업 5 억엔 5 천만엔 183,000 엔 22) 2006 년 4 월에상품내용을더욱확충시키기위해 2 가지특약 (1 홈페이지운영. 컴퓨터바이러스에기인하는손해담보 추가조항, 2 구상권방기 ( 放棄 ) 추가조항 ) 을추가하여보험료수준을일부변경함. 18
3) 닛세이동화손보 ( 주 ) 2003 년 7 월닛세이동화손보 ( 주 ) 는 IT 를활용하는기업이고객에게지급하는손해배상금이나 쟁송비용을보상하는 IT 업무배상책임보험을출시했다. 23) 인터넷이나홈페이지등의 IT 를 FOCUS 활용하는기업에서사고로인해배상책임을지게된경우손해배상금이나쟁송비용을지급하는상품으로, IT사업자뿐만아니라 IT를업무로활용하는일반기업도가입할수있다. IT업무배상책임보험은정보시스템이나컴퓨터네트워크를이용하고있는기업, 또는전자정보를제공하고있는기업이다음과같은이유로손해배상비용이제기된경우에보상을해준다. < 표 12> 비용보상내역구분내용 1 제3자의업무수행전부혹은일부의휴지또는저해 2 전자정보의소실 손괴 3 전자정보의유출 4 인격권침해 저작권침해 5 상기 1~4 이외의예측할수없고돌발적으로생긴사유출처 : 손해보험협회 (2009), 일본의손해보험시장에서의상품동향 재구성. 3. 유럽의정보보호보험시장유럽은각국이개인정보보호관련법률을재정비하며정보보호보험상품판매 24) 가본격화되기시작했다. 직원실수, 프로그램에러, 시스템마비등으로발생하는배상책임을보상하는정보보호상품이생겨났으며, 유럽내정보보호보험시장이가장활성화된국가중하나인영국의경우 9개의정보보호보험상품이운영되고있다. 영국보험회사로이즈 (Lloyds) 는유럽의정보보호보험시장이이제막형성된시장이라고밝히고있으며, EU의데이터보호법개정안발표등법안강화로향후소매업, 의료, 금융서비스등데이터를활용해사업을하고있는기업들을중심으로정보보호보험시장수요가증가할것으로전망하고있다. 유럽은네트워크정보보안전문기관인유럽정보보호기구 (Europe Network and Information Security Agency) 를출범시켜기업들의정보보호보험가입의무화와사이버위협에 23) 2004 년 8 월 1 일부터정보유출시위로금등의비용손해를담보하는특약을신설. 24) ACE Europe, Hoscox, Lloyd s 등의보험회사에서정보보호보험상품을판매중에있다. 19
대한국가재보험등정보보호보험시장의규모를확대시키기위해범국가적인차원에서노력을 기울이고있다. 25) 유럽정보보호보험시장규모를파악한정확한자료는없으나영국의 정보보호보험시장규모는 300(4,400 억원 )~400 만 (5,880 억원 ) 유로에이르는것으로 조사됐다. 26) Ⅳ. 국내정보보호보험시장현황 1. 국내정보보호보험시장개요국내의경우, 개인정보유출사고증가와개인정보보호법시행에따라개인정보유출배상책임보험중심의정보보호보험시장이형성되었다. 현재 5종 ( 의무보험 3종포함 ) 의정보보호보험상품이운영되고있으며, 보험시장규모는 2010 년기준연간약 80억원으로매우작은상황이다. 또한 2010 년기준정보보안침해사고에대비하여보험에가입하고있는사업체는 4.7% 에불과해여전히낮은가입률을보이고있다. 27) 하지만개인정보유출배상책임보험의경우국내잠재시장규모가최소 4,400 억원에서최대 3조 6천억원수준으로조사되어향후국내손해보험사의주력상품으로부상할가능성이높아질것으로예상된다. 28) 현재국내에서운영되고있는정보보호보험상품으로는전자금융거래배상책임보험, 공인전자문서보관소배상책임보험, IDC 사업자배상책임보험등의무보험 3종과개인정보유출배상책임보험, e-biz 배상책임보험등 2종의임의보험이있다. 의무보험이란, 전자금융거래법의금융기관, 정보통신망법의 IDC 사업자등소수의특정사업자가의무적으로가입해야하는보험으로해킹, 위법행위로인한손해등에대해서보상하고있다. 하지만은행등금융기관대상의의무보험인전자금융거래배상책임보험과같이보상한도액이작아실효성이낮다는평가를받고있다. 29) 임의보험이란, 보험가입이가입자의자유의사에따르는보험으로온라인쇼핑몰사업자, 고객정보를다루는업종등인터넷사업자를대상으로하고있다. 하지만최근 25) 최근유럽의정보보호기구 (ENISA) 는정보보호보험이사이버보안리스크관리에유용한수단이며, 피보험자집단의재정적안정성확보가능등의정보보호보험의유용성에대해피력했다. 26) ENISA(2012), Insentives and barriers of the cyber insurance market in Europe. 27) 한국인터넷진흥원 (2012), 2011 년정보보호실태조사 ( 기업편 ). 28) 보험개발원 (2012), 개인정보유출배상책임보험의활성화방안. 29) 전자금융거래배상책임보험의경우보상한도액이 20~50 억원수준. 20
대규모개인정보유출사고에대해기업체의책임을인정하지않는법원판결이잇따라 발생하면서기업체의보험가입필요성에대한인식이매우부족한실정 30) 이다. FOCUS < 표 13> 국내정보보호보험상품 구분상품종류주요보상내용가입대상 최저보험금 의무화실시연도 전자금융거래배상책임보험 해킹또는전산장애등으로금융거래피해고객이입은손해를보상 금융기관및전자금융업자 1 억 ~ 20 억 07.1 의무보험 공인전자문서보관소배상책임보험 전자문서보관등의업무수행과관련하여위법한행위로이용자에게손해를입힌경우손해를보상 공인전자문서보관소 20 억 07.11 집적정보통신시설 (IDC) 사업자배상책임보험 집적정보통신시설의멸실, 훼손, 그외운영장애로발생한피해를보상 집적정보통신시설사업자 5 천만원 ~ 10 억원 01.1 개인정보유출배상책임보험 개인정보유출을당한가입고객으로부터손해배상청구소송을당했을때발생하는손해를보상 온라인쇼핑몰등고객정보를다루는업종 - - 임의보험 e-biz 배상책임보험 피보험자의인터넷및네트워크활동으로인하여타인에게손해를가한경우법률상손해를보상 온라인쇼핑몰및인터넷개발업자등 - - 출처 : 변혜원 (2012), 개인정보관련리스크와보험산업, 보험연구원, 재구성. 2. 국내정보보호보험상품 현재현대해상, 한화손해보험, 동부화재등대부분의손해보험회사에서정보보호보험을판매중에있다. 1) 개인정보보호배상책임보험 ( 현대해상 / 한화손해보험 ) 개인정보보호배상책임보험이란개인정보의누출로인한기업의경영위기를순조롭게극복하고안정적인기업활동을보장하기위해새롭게도입된보험으로개인정보유 누출에따른피해자에대한법률상손해배상금및손해배상책임지출비용등에대해보상한다. 30) PwC US 와 CSO 매거진이공동으로주관한 2013 사이버범죄현황조사 (2013 State of Cybercrime Survey) 에따르면, 사이버범죄가확산되는상황에도불구하고기업들은이에대한심각성이부족해사이버보안에대한투자의식이낮은 수준인것으로나타남. 21
구분 < 표 14> 개인정보보호배상책임보험손해보상내용내용 - 개인정보의우연한누출로인해피보험자가피해자에게지급할법률상의손해배상금기본담보 - 손해배상금이외에법률상의손해배상책임을부담함으로써피보험자가지출한비용 보상하는손해 선택담보 - 위기관리컨설팅회사가위기의영향을관리및최소화하는목적으로피보험자에게제공하는위기관리서비스에의해발생한비용 - 피보험자가개인정보유출로인한위기의영향을관리및최소화하려는목적으로부담한비용 - 신용정보누출로인한제3자의경제적손해배상청구담보 - 파견근로자가파견처에서행한행위로인한배상청구담보등 보상하지않는손해 - 피보험자나피보험자의임원또는임원이었던사람 ( 기명피보험자또는그자회사의직원이나직원이었던사람을제외합니다 ) 의고의또는범죄행위에기인한손해배상청구 - 재물의멸실, 훼손, 오손, 분실또는도난 ( 그에따른재물의사용불능손해포함 ) 에기인한손해배상청구단, 재물의분실또는도난에수반하는개인정보누출로인한손해배상청구는보상 - 개인정보이외의정보누출에기인한손해배상청구 - 초년도계약의보험개시일이전에발견된개인정보누출로인한손해배상청구 - 이계약의보험개시일이전에피보험자에대한손해배상청구가제기될우려가있는상황을피보험자가알고있었던경우 ( 혹은, 알고있었다고판단할수있는합리적인사유가있는경우포함 ) 에그상황의원인이되는개인정보누출에기인하는손해배상청구등 2) E-Biz 배상책임보험 ( 동부화재 ) E-Biz 배상책임보험이란피보험자가인터넷과네트워크상에서발생한사고로인해손해 배상청구를받아발생하는피해를보상해주는보험이다. 22
구분 < 표 15> E-Biz 배상책임보험손해보상내용 내용 FOCUS 보상하는손해 - 컴퓨터시스템장애및전자거래중단에따른법률상손해배상금 ( 혹은보험회사가동의한합의금 ) 및방어비용 ( 변호사비용, 소송비용등 ) - 네트워크나웹사이트의접속방해나지연, 불통에따른법률상손해배상금 ( 혹은보험회사가동의한합의금 ) 및방어비용 ( 변호사비용, 소송비용등 ) - 고객의이름, 주민등록번호등과같은개인신상정보의오용및악용에따른법률상손해배상금 ( 혹은보험회사가동의한합의금 ) 및방어비용 ( 변호사비용, 소송비용등 ) - 보안체제의파괴 / 컴퓨터바이러스의감염및확산에따른법률상손해배상금 ( 혹은보험회사가동의한합의금 ) 및방어비용 ( 변호사비용, 소송비용등 ) - 명예훼손, 신용훼손, 프라이버시침해에따른법률상손해배상금 ( 혹은보험회사가동의한합의금 ) 및방어비용 ( 변호사비용, 소송비용등 ) 보상하지않는손해 - 보험계약자또는피보험자의고의로생긴손해에대한배상청구 - 신체장해나재물손해에기인된손해배상청구 - 국가, 지방자치단체등이제기하는배상책임 - 계약상가중책임 - 임원의부정, 사기, 범죄, 또는악의적행위에기인된손해배상청구 단, 최종판결의선고시까지지출된방어비용은보상함 - 계약시점에알고있었거나예견가능했던손해배상청구를야기할수있는상황이나사건에기인된손해배상청구 - 위성장애에기인된손해배상청구 - 전기적장애, 특허권침해에기인된손해배상청구 - 증권거래법, 독점금지관련법을위반하여생긴손해에대한배상청구 3) 전자금융거래배상책임보험 (LIG 손해보험 ) 전자금융거래배상책임보험이란해킹또는전산장애등으로금융거래피해를입은고객의손해를보상하는보험으로전자금융거래법제2조제3항의금융기관, 기명피보험자의전 현직임원, 직원, 수탁인 ( 전자금융보조업자제외 ), 승계인또는양수인등을가입대상으로한다. 23
구분 < 표 16> 전자금융거래배상책임보험손해보상내용내용 - 법률상손해배상금, 손해방지비용, 소송비용을포함한관련비용, 공탁보증기본담보보험료등 보상하는손해 선택담보 - 피보험자의업무수행과정이나그러한목적으로소유, 사용, 관리하는개인정보의우연한유출로법률상손해배상책임을부담함으로써입은손해 - 개인정보유출배상책임담보특약에서보상하는사고에기인해피보험자가부담하는사고관리컨설팅비용 단, 사과광고게재비용, 소송비용등은불포함 - 개인정보유출배상책임담보특약에서보상하는사고에기인해피보험자가실추된브랜드이미지를회복하거나방지하기위하여부담하는사고관리비용보상등 보상하지않는손해 - 보험계약자또는피보험자의범죄행위또는고의로생긴손해 - 계약에의해가중된손해배상책임 - 타인의신체피해또는재물손해 ( 단, 피보험자의과실에의한유체물의직접손해에대한배상청구는보상 ) - 피보험자간의배상청구 - 국가또는지방자치단체의기관이제기하는배상청구 - 전력공급중단, 정전, 전압 / 전류불안정에기인된배상청구 - 특허권침해에기인된배상청구 - 증권거래법, 공정거래법위반에기인된배상청구 - 접근매체 ( 대금결제가가능한전자식카드에한함 ) 의분실또는도난에의하여발생한손해에대한배상청구 - 개인정보의유출로기인하여피보험자가부담하는법률상손해배상청구 Ⅴ. 정보보호보험시장활성화를위한정책제언 지금까지국내외정보보호보험시장현황분석을통해정보보호보험시장활성화부진의원인을이해당사자와보험시장으로나누어살펴보면, 다음과같이정리할수있다. 우선, 보험관련이해당사자인기업들의경우, 정보보호보험가입필요성에대한인식이부족하다는문제점이있다. 최근 SK커뮤니케이션즈개인정보유출사건대해피해자의승소를판결한사건이있었다. 하지만기업들은손해배상금액규모가작아피해자의대규모소송이회사의존립에영향을미칠수있다는것에대한인식을하지못하고있으며, 그외옥션, 24
GS 칼텍스의개인정보유출사건의경우, 법원이기업의배상책임이없다는판결을내려 기업들의정보보호보험가입필요의식을저해하는데기여하고있는실정이다. 국내중소기업의경우, 72% 이상이정보보호를위한지출이전혀없는수준으로정보보호 FOCUS 분야에대한관심이부족하고정보보호보험가입필요성을느끼지못하고있다. 31) 또한기업들은자사의정보유출사고로인한기업평판이나신용에영향을미쳐매출저하로이어질것을우려해정보보호관련사건 사고를외부에공개하기꺼려하는경향이있다. 결국, 이는정확한정보를바탕으로작성되어야하는정보보호보험시장기초현황조사에어려움을겪어정보보호보험시장활성화의걸림돌이되고있다. 다음으로정보보호보험시장측면에서살펴보면, 정보자산의가치측정등정보보호의특수성으로인한보험상품개발의어려움이발생한다는것이다. 예를들어, 고객정보를담고있는데이터베이스가도난당한경우, 그데이터베이스의가치를어떠한근거나기준으로산출해야하는지명확하지않다는문제점이있다. 또한보험회사는과거의손실이나리스크에근거해보험의보상액, 보험료등을결정하지만, 정보보호분야는과거의참고할만한실적이많지않아상품개발에어려움을겪고있다. 이러한문제점들을고려하여국내정보보호보험시장활성화방안을다음과같이제언할수있다. 첫째, 단계적으로보험가입의무화제도를도입할필요가있다. 우선실효성있는이용자피해구제를위해공신력이있는공공기관을대상으로우선적으로도입하며, 이후해킹사고의개연성이나피해가클것으로예상되는기업체에대해가입여건, 가입범위및규모를고려하여민간으로확대시키는방안이있다. 둘째, 정부차원의정보보호보험가입활성화유도정책이필요하다. 사고발생시책임경감 세제혜택등인센티브확보방안, 공공기관의보험가입에따른재원마련, 중소사업자를위한보험료보조방안등다양한방안이있을것으로생각한다. 셋째, 한국인터넷진흥원등정보보호전문기관과보험개발원등보험전문기관과의협력을통해정보보호보험시장활성화를위한기반을마련해주어야할것이다. 기업별사이버위험측정방안, 정보유출피해액산정기준마련등각종기준마련을위한공동연구를실시하고, 정보보호보험활성화를위한관련법제정지원등의노력을통해시장활성화를위한기반여건을마련해주어야할것이다. 31) 한국인터넷진흥원 (2012), 정보보호실태조사 ( 기업편 ) 25
넷째, 정보보호보험필요성에대한기업들의인식제고를위해홍보활동을강화해야한다. 예를들면, 정보보호관련행사에서정보보호보험홍보부스설치를통한사이버공격의위험및사이버공격피해의심각성설명을한다거나또는정보보호보험광고제작을통해 TV, 라디오등의미디어매체에홍보활동을하는방안이있을것이다. 지난 3월 20일북한소행으로추정되는사이버공격으로방송국, 금융기관등총 6개사 48,000 여대의내부직원 PC와서버가손상되는피해가발생했다. 피해금액은 8,823 억원에달하는것으로파악 32) 되고있으며, 다행히고객정보유출과같은추가피해는발생하지않았다. 이번 3.20 사건이후기업과국민들모두사이버위협의위험성을모두체감했으며, 더불어날로고도화된기술과기법을활용한사이버공격에대한리스크를해소하는대안으로정보보호보험을주목하고있다. 현재글로벌 IT 전문리서치기관들은앞으로도사이버공격횟수가지금보다더욱더증가할것으로전망하고있어, 향후기업들의정보보호보험수요증가와함께개인정보유출에대비한개인단위의새로운정보보호상품개발까지예상된다. 이러한점을감안한다면, 정보보호보험시장의장기전망은매우밝은상황이다. 그러나현재와같은국내상황이지속된다면, 글로벌보험업계에국내정보보호보험및서비스관련시장을내어주는상황도발생할수있다. 따라서체계적인정보보호보험시장육성방안마련이시급하다. 참고문헌 ENISA, Incentives and barriers of the cyber insurance market in Europe, 2012. 6 변혜원, 사이버리스크 (Cyber Risk) 와사이버보험, KiRi Weekly 포커스, 보험연구원, 2012. 12 보험개발원, 개인정보유출배상책임보험의활성화방안, 2012. 12 보험개발원, 개인정보유출관련보험제도활성화방안, 2012. 손해보험협회, 일본의손해보험시장에서의상품동향, 2009. 10 한국인터넷진흥원, 2012 국내지식정보보안산업실태조사, 2012. 11 한국인터넷진흥원, 2011 년정보보호실태조사 ( 기업편 ), 2012. 한국인터넷진흥원, 2012 년정보보호실태조사 ( 기업편 ), 2012. 12 32) KAIST 정보보호대학원보안연구센터 (2013.5.27.) 26