3) 참조 4) 최창희 김혜란, 해외사이버배상책임보험시장성장의시사점, kiri Weekly 제 298 호, 보험연구원, - 2 -

1) 개인정보유출피해자 2,882 명에게 1 인당 20 만원의위자료를지급하라는판결을내렸음. ( 서울서부지방법원 2013.2.15. 선고 2011 가합 11733 등판결 ) 2) 관련판례에대하여자세한것은최호진, 해킹에의한개인정보유출과정보통신서비스제공자에대한손해배상책임에관한고찰 -SK 컴즈사건을중심으로 -, 법조 63 권 2 호, 법조협회, 2014, 123~159 면참조. - 1 -

3) http://www.datalossdb.org 참조 4) 최창희 김혜란, 해외사이버배상책임보험시장성장의시사점, kiri Weekly 제 298 호, 보험연구원, - 2 -

214.9.1. 4 면참조. 5) 최창희 김혜란, 전제논문, 2 면참조 - 3 -

6) 정종일, 개인정보보호정상화대책, 개인정보제도변경관련설명회발표자료, 손해보험협회, 2014.9.3. 8 면및 12 면의표를이용하여작성함. - 4 -

법명분야적용대상대상수관할청 개인정보보호법정보통신망법신용정보법 총괄모든개인정보처리자약 380 만개사업자안전행정부 정보통신분야금융 신용분야 약 273만개사업자정보통신서비스제공 + 160만개스마트방송통신위원회자등폰앱신용정보회사등약 7만개사업자금융위원회 - 5 -

현행개정안 ( 박대동의원안 ) 제39조의2( 손해배상의보장 ) 1개인정보처리자는제39조제1항에따른손해배상책임의이행을위하여보험에가입하거나 금융위원회의설치등에관한 < 신설 > 법률 제38조제1호부터제8호까지의기관에자산을예탁하여야한다. 2 제1항에따른보험가입및자산예탁의기준, 절차등그밖에필요한사항은대통령령으로정한다. 제75조 ( 과태료 ) 1 ( 생략 ) 제75조 ( 과태료 ) 1 ( 현행과같음 ) 2 다음각호의어느하나에해당하는 2 ---------------------------- 자에게는 3천만원이하의과태료를부과 --------------------------------- 한다. -----------. 14. 제39조의2제1항에따른보험가 < 신설 > 입또는자산의예탁을하지아니한자 - 6 -

현행개정안 ( 박대동의원안 ) < 신설 > 제76조 ( 과태료 ) 1 다음각호의어느하나에해당하는자와제7호부터제11호까지의경우에해당하는행위를하도록한자에게는 3천만원이하의과태료를부과한다. < 신설 > 제32조의2( 보험가입등 ) 1 정보통신서비스제공자등은제32조에따른손해배상책임의이행을위하여보험에가입하거나 금융위원회의설치등에관한법률 제38조제1호내지제8호의기관에자산을예탁하여야한다. 2 제1항에따른보험가입및자산예탁의기준, 절차등그밖에필요한사항은대통령령으로정한다. 제76조 ( 과태료 ) 1 ---------- ----------------------------- ----------------------------- ----------------------------- ------------------. 13. 제32조의2 제1항에따른보험가입또는자산의예탁을하지아니한자 - 7 -

현행개정안 ( 박대동의원안 ) < 신설 > 제52조 ( 과태료 ) 1 제32조제7항을위반하여개인신용정보를제공받는자의신원과이용목적을확인하지아니한자에게는 3천만원이하의과태료를부과한다. < 신설 > 제43조의2( 손해배상의보장 ) 1 신용정보회사등과그밖의신용정보이용자는제43조제1항에따른손해배상책임의이행을위하여보험에가입하거나 금융위원회의설치등에관한법률 제38조제1호내지제8호의기관에자산을예탁하여야한다. 2 제1항에따른보험가입및자산예탁의기준, 절차등그밖에필요한사항은대통령령으로정한다. 제52조 ( 과태료 ) 1 다음각호의어느하나에해당하는자에게는 3천만원이하의과태료를부과한다. 1. 제32조제7항을위반하여개인신용정보를제공받는자의신원과이용목적을확인하지아니한자 2. 제43조의2 제1항에따른보험가입또는자산의예탁을하지아니한자 현행개정안 ( 정무위원장대안 ) 제43조의2( 손해배상의보장 ) 대통령령으로정하는신용정보회사등은제43조에따른손해배상책임의이행을위하여금 < 신설 > 융위원회가정하는기준에따라보험또는공제에가입하거나준비금을적립하는등필요한조치를하여야한다. - 8 -

제정당시제9조 ( 금융기관또는전자금융업자의책임 ) 4금융기관또는전자금융업자는제 1항의규정에따른책임을이행하기위하여금융감독위원회가정하는기준에따라보험또는공제에가입하거나준비금을적립하는등필요한조치를하여야한다. 현행제9조 ( 금융회사또는전자금융업자의책임 ) 4금융회사또는전자금융업자는제 1항의규정에따른책임을이행하기위하여금융위원회가정하는기준에따라보험또는공제에가입하거나준비금을적립하는등필요한조치를하여야한다. - 9 -

7) 개인정보유출피해자 2,882 명에게 1 인당 20 만원의위자료를지급하라는판결을내렸음. ( 서울서부지방법원 2013.2.15. 선고 2011 가합 11733 등판결 ) - 10 -

국가미국영국독일프랑스호주평균 평균비용 675 만 256 만 344 만 253 만 183 만 343 만 8) 자료 : 보험연구원 2012.2 ( 원자료 PGP/Ponemon, 2009) 9) 정보통신망법은 2014.5.28. 개정시에이미법정손해배상제도를도입하여 2014.11.29. 부터시행하고있다. 제 32 조의 2( 법정손해배상의청구 ) 1 이용자는다음각호의모두에해당하는경우에는대통령령으로정하는기간내에정보통신서비스제공자등에게제 32 조에따른손해배상을청구하는대신 300 만원이하의범위에서상당한금액을손해액으로하여배상을청구할수있다. 이경우해당정보통신서비스제공자등은고의또는과실이없음을입증하지아니하면책임을면할수없다. 1. 정보통신서비스제공자등이고의또는과실로이장의규정을위반한경우 2. 개인정보가분실 도난 누출된경우 2 법원은제 1 항에따른청구가있는경우에변론전체의취지와증거조사의결과를고려하여제 1 항의범위에서상당한손해액을인정할수있다. - 11 -

- 12 -

- 13 -

11) 헌법재판소 1991. 6. 3, 89 헌마 204 사건. 12) 전자금융거래감독규정제 5 조 ( 전자금융사고책임이행을위한보험등의가입에관한기준 ) 1 금융회사또는전자금융업자가법제 9 조제 4 항에따라전자금융사고책임이행을위한보험또는공제에가입하는경우보상한도는다음각호에서정하는금액이상이어야한다. < 개정 2013.12.3> 1. 금융위원회의설치등에관한법률 제 38 조제 1 호 ( 다만, 은행법 에의한지방금융회사및같은법제 58 조에의해인가를받은외국금융회사의국내지점은제외한다 ) 및제 7 호의회사, 전자금융거래법시행령 제 2 조제 2 호의회사 : 20 억원 2. 금융위원회의설치등에관한법률 제 38 조제 8 호의회사, 전자금융거래법 제 2 조제 3 호나목 ( 신용카드업자에한한다 ) 및다목의회사, 전자금융거래법시행령 제 2 조제 1 호의회사, 은행법 에따른지방금융회사및같은법제 58 조에의해인가를받은외국금융회사의국내지점 : 10 억원 3. 금융위원회의설치등에관한법률 제 38 조제 2 호 ( 다만, 명의개서대행업무를수행하는회사는제외 ) 의회사 : 5 억원 4. 제 1 호부터제 3 호이외의금융회사 : 1 억원. 다만, 제 1 호부터제 3 호이외의금융회사들이관련법령에의해당해금융회사를구성원으로하는금융회사를통해전자금융거래관련정보기술부문의주요부분을공동으로이용하는경우, 정보기술부문의주요부문을제공하는금융회사가공동이용금융회사전체의사고를보장하는내용으로제 2 호의금액 ( 시행령제 2 조제 5 호의금융회사는제 1 호의금액 ) 이상의보험또는공제에가입하면공동이용금융회사는본호의보험또는공제에가입한것으로본다. 5. 법제 28 조제 2 항제 1 호및제 2 호의전자금융업자 : 2 억원 6. 제 5 호이외의전자금융업자 : 1 억원 - 14 -

13) 신용정보법제 43 조 : 신용정보회사등이이법을위반하여신용정보주체에게피해를입힌경우 개인정보보호법제 39 조 : 개인정보처리자가이법을위반한행위로정보주체에게손해를입힌경우 정보통신망법제 32 조 : 정보통신서비스제공자등이개인정보보호관련규정을위반한행위로손해를입힌경우 - 15 -

- 16 -

- 17 -

Ø 사이버 배상책임보험(CLI)*은 개인정보 유출 배상책임보험을 포함하는 종합보험입니다. Ø 현재 사이버 위험에 의한 손해는 대재해에 의한 손해의 5배 수준으로 추정됩니다. Ø 미국에서는 연간 수천만에서 수억 건의 개인정보 유출이 일어나고 있으며 미국 CLI 시장 규모는 연간 13억 달러, CLI 시장 침투도는 0.0077%입니다. Ø 최근 한국에서 미국과 유사한 수준의 대규모 개인정보 유출 사고가 일어나고 있음에도 불구 하고 한국 CLI 시장 규모는 연간 42.9억 원이고 침투도는 0.00031%로 미국의 1/25 수준입니다. Ø 이렇게 활성화되지 않은 CLI 시장은 한국 기업의 사이버 위험에 대한 의식 수준이 높지 않다는 것을 보여줍니다. Ø 현재 외국의 보험회사들은 다양한 담보를 포함하는 CLI 상품을 판매하고 정보 유출 사고 방지를 위한 다양한 부가 서비스를 함께 제공하여 정보 유출사고 방지에 기여하고 있습니다. Ø 개인정보 유출 보험의 의무화는 국내 CLI 시장을 활성화시켜 개인정보 유출 피해자의 권리를 보호하고 기업을 사이버 위험으로 부터 지킬 뿐 아니라 더 나아가 보험회사들이 개인정보 유출 사고를 방지하는 부가 서비스를 제공하는데 기여할 것으로 예상됩니다.

I II III

I

1. 사이버배상책임보험이란? ü 피보험자의사이버상의행위로인하여제 3 자또는피보험자자신에게발생하는손해를담보하는보험을사이버배상책임보험 (CLI) 이라함 사이버배상책임보험은개인정보유출배상책임보험을포함하는보험임 사이버배상책임보험상품 제 3 자손해보상 피보험자손해보상 부가서비스 1) 정보유출 훼손 유실에의한손해 2) 1) 로발생한 2 차적재산손해 ( 금융 의료정보유출 ) 3) 업무차질로발생한매출감소및휴업손해 ( 시스템정지 오류 ) 1) 정보유출 훼손 유실에의한소득손실또는비용증가 2) 시스템복구비용및업무중단으로발생하는비용 3) 사이버갈취, 명성훼손, 법적대응비용 4) 피해자공지비용, 벌금및과징금, 카드재발급비용 1) 사이버위험평가서비스 2) 사이버위험관련교육서비스 3) 사이버위험관리컨설팅 4) 사고발생실시간대응서비스 5

2. 사이버손해의규모 ü 사이버보안회사인매카피 (McAfee) 의 2013 년보고서에따르면전세계적으로사이버상의불법행위에의해발생하는비용은연간 3 천억 ~1 조달러규모임 ( 대재해손해의 5 배규모 ) 사이버범죄는개인, 기업, 국가에큰피해를가져와경제발전을위협하므로사이버위험은철저히관리될필요가있음 < 각종불법행위에의한연간발생비용 > 세계비용 (Billion 달러, 조원 ) GDP 대비비율 (%) 출처 해적약탈행위 1~16 0.008~0.02 IMB 마약 600 0.50% UNOCD 사이버범죄 300~1,000 0.4~1.4% Various 미국비용 (Billion 달러, 조원 ) GDP 대비비율 (%) 출처 자동차사고 99~168 0.7~1.2 CDC, AAA 기업도난사고 70~280 0.5~2 NRF 사이버범죄 24~120 0.2~0.8 Various 출처 : The Economic Impact of Cybercrime and Cyber Espionage, McAfee, 2013, pp. 5. http://www.mcafee.com/sg/resources/reports/ 게 -economic-impact-cybercrime.pdf 주 : 1 달러를천원으로환산함. 6

3. 글로벌기업의경제활동에영향을미치는 10 대위험 ü 사이버위험은기업활동에영향을미치는 10 대위험중 8 번째로현재기업의경제활동에심각한위협이되는위험임 < 글로벌기업의 10 대위험서베이결과 > 1. 기업업무중단, 서플라이체인위험 2. 대재해 3. 화재, 폭발 4. 규제또는법규의변화 5. 시장경기 6. 명성또는브랜드인지도하락 7. 경쟁의강화 8. 사이버범죄, IT 시스템고장, 기밀유출 9. 절도, 사기, 부패 10. 품질저하, 상품결함 12 10 9 7.5 6.9 5.9 4.9 4.9 16 21 기업활동에영향을미치는상위 10 개위험 (%) 출처 : 알리안츠보험, Top 10 global business risks for 2014 주 : 알리안츠의서베이에의한 10 대기업위험, 각항목은보험분야에서 557 명의위험관리컨설턴트, 언더라이터, 임원, 보험금청구전문가등이선정한기업활동에영향을미치는위험의비중. 중복답변가능, 합이 100% 가되도록재합산 7

4. CLI 의중요성이부각되고있는이유 ü 경제활동과실생활에서컴퓨터사용과인터넷의보급이확대되면서개인정보의집중도가높아지고사이버상의활동에수반되는손해도함께증가하는추세가나타나고있음 이러한위험을관리하기위해 CLI 에대한수요가세계적으로빠르게증가하고있음 정보집중가속 모바일기기보급확대 클라우드컴퓨팅보급확대 사이버상의활동증가에따라관련손해증가 사이버상의위험관리중요성증가 8

5. 사이버위험의특징 ü 아래의특징을고려한효과적인사이버위험관리가필요함 대재해와유사한통계적특징을가짐 발생빈도가높지않으나발생시피해규모가큼 발생시피해규모가매우클수있어자가보험이효과적이지않음 금융시장과의상관관계가낮아금융시장을통한위험관리가어려움 새로운손해유형이지속적으로발생 잠재피해자가과거유형에대응하므로끊임없이새로운유형의불법행위가발생함 - 예 : 새로운해킹기법, 사기유형 새로운불법행위유형을빠르게인지하고대응해야하는어려움이있음 업체간위험노출수준에차이가큼 동종업체간에도위험관리체계, 교육수준, 보안시스템등에편차가커이를고려한맞춤형위험관리가필요함 정보집중가속화로피해액증가추세 컴퓨터및모바일기기보급의확대로정보의집중도가높아지고있으며피해의규모도커지는양상을보임 9

6. 미국의정보유출사고발생추이 ü 미국에서는매년수천만건에서수억건의정보유출사고가발생하여정보유출이심각한사회적문제로대두되었음 사고건수 700 600 500 400 300 200 100 0 66.9 157 < 미국의개인정보유출사고건수와유출건수추이 > 656 662 222.5 정보유출사고건수 유출된정보수 ( 백만 ) 321 19 446 127.7 35.7 498 419 16.2 22.9 447 17.3 619 2005 2006 2007 2008 2009 2010 2011 2012 2013 출처 : Identify Theft Resource Center. 주 : 2013 년자료는 2014 년 1 월 1 일자료로서 2014 년 1 월에공개된 3 천만건의유출된정보수를포함, 왼쪽축은사고건수, 오른쪽축은사고에따른정보유출건수. 87.9 250 200 150 100 50 0 유출정보건수 ( 백만 ) 10

7. 세계정보유출사고사례 ü 세계적으로대규모정보유출사고가꾸준히발생하고있고국내에서도외국과유사한규모의대형정보유출사고가발생하고있어최근관련사회적비용이크게증가하였음 2013: 6 월한국카드 3 사가 1 억 580 만건의개인정보유출 10 월 Adobe 가 1,300 만건의사용자정보유출 11 월 Target 이 4,000 만건의고객정보유출 2012: 7 월 KT 870 만명의개인정보유출 2011: 3 월 RSA 가 SecureID 토큰유출 4 월소니가 770 만사용자정보유출 6 월 Citi 그룹이 21 만건의고객신용카드정보유출 2009: 1 월 Heartland 가 1 억건의신용카드정보유출 5 월영국의회비용영수증스캔파일유출 12 월 RockYou! 가 3,200 만건의사용자정보유출 2008: 1 월 GE Money 가 15 만건의개인식별번호와 65 만건의신용카드정보유출 1 월뉴저지 Blue Cross & Blue Shield 가 30 만건의고객정보유출 1 월 British National Party 가당원목록유출 1 월 Countrywide Financial 이 250 만개인식별번호를포함한개인정보유출 2 월 Lifeblood 가 32 만건의헌혈자목록유출 외국사례출처 : http://en.wikipedia.org/wiki/data_breach 11

8. 정보 유출 원인 ü 정보 유출 원인은 해킹에 의한 것이 57%로 가장 많았고 그 뒤를 사기, 모바일 기기 도난 등이 따르고 있음. 다양한 경로를 통해 정보가 유출되므로 이러한 부분에 대한 관리가 필요함 <미국의 정보 유출 원인> 우편: 도난 또는 버려진 우편물에 의한 정보 유출 스키밍: 신용카드 소지자의 동의 없이 신용카드 정보를 취득 하거나 이용하는 범죄 출처: www.datalossdb.org 12

9. 사이버공격대상과업종별정보유출비용 ü 현재미국에서는다양한업종의기업들이해킹공격의대상이되고있고특히근로자 250 인이하인중소기업에대한해킹시도가빠르게증가하고있는추세를보임 ( 전체공격의 31%) 국내에서도유사한패턴이나타날수있으므로이에대한대비책이필요함 < 해커의공격대상기관 ( 비율 )> < 업종별정보유출건당평균발생비용 ( 달러 )> 제조업 금융, 보험 & 부동산 19% 24% 건강 의료금융제약 215 207 233 비전통적서비스 정부 12% 17% 교통통신서비스 169 150 134 에너지 / 유틸리티 전문서비스 도매업 소매업 항공우주 운송, 정보, 전기, 가스업 2% 2% 2% 1% 8% 10% 출처 : Symantec Internet Security Report 2013 기업에대한해킹공격통계는 2011 년기준 기술연구에너지자선단체소비자교육대중매체산업공공부문유통 129 125 125 114 113 111 103 103 81 78 13

Ⅱ I

1. 한 미 CLI 시장비교 ü 국내에서미국과유사한규모의개인정보유출사고가발생하고있으나국내기업들의의식수준이높지않아 CLI 시장이활성화되어있지않음 보험회사들은활성화되지않은 CLI 시장에서다양한상품을개발하고사고방지를지원하기위한서비스를제공하는데어려움을가짐 미국 한국 CLI 보험보험료 13 억달러 42.9 억원 GDP 16 조 8 천억달러 1,376 조원 CLI 침투도 (GDP 대비보험료 ) 0.0077% 0.00031% 상품다양한상품 담보상품 담보의수가적음 부가서비스 위험관리컨설팅, 위험관리교육, 실시간사고대응지원 없음 출처 : 미국 CLI 보험료 (https://www.advisen.com/market.html), 한국 CLI 보험료 (http://www.kiri.or.kr/pdf/ 전문자료 /KIRI_20140829_175939.pdf), 미국 GDP(World Bank), 한국 GDP( 한국통계청 ), 한국보험상품 ( 전자금융거래배상책임보험, 개인정보유출배상책임보험, e-biz 배상책임보험, 공인전자문서보관소배상책임보험, 집적정보통신시설사업자배상책임보험 ), 2013 년기준 15 15

2. 미국 CLI 시장규모및추이 ü 뮌헨재보험의발표자료에따르면현재미국 CLI 시장은 13 억달러규모이고향후 7 년간 50 억달러규모의시장으로현재의 3 배이상발전할것으로예상되나국내시장은저조한실정임 미국 CLI 시장 출처 : http://www.asiainsurancereview.com/aircyber/ https://www.advisen.com/market.html 16

3. 한 미 일 CLI 상품담보비교 ü 한국의 CLI 상품은 7 개의손해만을담보하고있어미국 (20 개 ) 과일본 (19 개 ) 보다담보하는손해의종류의수가적어 CLI 상품이다양하지않음 특약의내용 한국 미국 일본 데이터재건, 대체비용 O O O 개인정보유출로인한손해배상비용 O O O 네트워크안전확보실패로인한손해배상비용 O O O 도난당한정보가공적으로노출되었을때손해배상비용 O O O 해킹, 바이러스관련손해배상비용 O O O 사이버범죄유죄판결시의위자료비용 O O O 기술적인오류나부주의로일어난손해배상비용 O O O 도난당한정보의사용과관련된협박처리비용 O 정보유출시그정보의소유자에게고지하라는법률비용 O 서비스중단으로인한외부비용과수입감소분 O O 적절한서비스를제공했음에도불구하고생긴외부비용과수입감소분 O O 정보도난, 유출에대한위기관리비용 O O 정보도난처리비용 O O 벌금 O 기업평판관련비용 O 사이버공공기물파손시처리비용 O O 네트워크파괴및침입시대처비용 O O 유럽의개인정보보호법과관련된비용 O 포괄적인접근에대한보호비용 ( 오프라인매개체포함 ) O O 사이버테러리즘에대한보상 O O 내부직원에의한데이터유출 O 개인정보위탁처의사업자의누설로인한피해보상시구상권불행사 O 피보험자의부주의, 실수로인해생긴데이터손실보상 O 클라우드컴퓨팅이용기업을대상으로일반사이버보험보장제공 O 출처 : 김소연, 차윤주, 김창기, 최양호 (2014), 국내사이버위험과사이버보험에관한연구, 보험학회하계학술대회, 2014 17

4.1 외국보험회사의 CLI 상품 (1): AIG ü AIG 는손해예방, 보험을통한사후관리, 사고발생시실시간대응지원등으로피보험자가능동적으로사이버위험에대비할수있도록다각적인지원을제공하는 CLI 상품판매 <AIG 의 CLI 상품 CyberEdge 개관 > 손해예방보험담보사고관리팀 관련지식 제 3 자손해배상 24 시간지원서비스 (IBM) 연수및교육 피보험자에게발생한손해 법률지원 정보보안평가서비스 (IBM) 휴업복구비용 휴업복구비용 사이버리스크관리컨설팅 해커협박비용 대중매체전문가지원 사이버리스크예방서비스 명성피해및저작권침해 15 년간의사고관리지식공유 18

4.2 외국보험회사의 CLI 상품 (2): 알리안츠 ü 알리안츠도 AIG 와유사하게피보험자의사이버위험을평가하고사고를방지하는데도움을주는부가서비스를 CLI 와함께제공 < 알리안츠의사이버프로텍트개관 > 표준상품 : CLI 보험 프리미엄 : CLI 보험 +CLI 위험진단및컨설팅 ( 알리안츠자체컨설팅 ) 플러스 : CLI 보험 +CLI 위험진단및컨설팅 ( 외부파트너협업 ) 19

Ⅲ I

1. 개인정보유출배상책임보험의무화의기대효과 ü 개인정보유출배상책임보험의의무화는피해자의권리를보호하고피보험자를개인정보유출에의한손해로부터지키고더나아가국내 CLI 시장을활성화시켜보험회사들이기업이필요로하는 CLI 상품을개발하고개인정보유출방지를위한서비스를제공할수환경을조성하여개인정보유출사고를줄이는데기여할것임 활성화되지않은국내 CLI 시장환경 다양한상품개발이어려움 사고방지등부가서비스제공이어려움 21

2. 국내보험회사들에게주어진과제 ü 보험회사들은 1 사이버위험진단, 2 사이버사고방지지원, 3 사고발생시대응지원, 4 시장의수요에부응하는상품을개발하기위해사이버위험에대한역량 (IT 시스템, 해킹대응기법, 사이버리스크관리체계구축및운영, 관련법규, 사고대응전략구축및실행, 24 시간사고대응지원시스템 ) 을강화할필요가있음 궁극적으로이러한노력은개인정보유출사고를방지하여사이버상에서발생하는사고로인한사회적비용을절감하는데기여할것임 사이버위험에대한이해역량강화 시장의수요에부응하는다양한상품개발 사고방지를위한부가서비스제공 개인정보유출사고방지로사회적비용절감 22

토론문 정보유출배상책임보험도입방안 김은경 ( 한국외국어대학교법학전문대학원교수 )

토론문 1 정보유출배상책임보험도입방안 토론문 1 정보유출배상책임보험도입방안 김은경 ( 한국외국어대학교법학전문대학원교수 ) Ⅰ 개요 개인정보유출사태가빈번히발생하고있다. 게임사, 통신사, 포털사이트, 카드사, 증권사, 보험사등업종을가리지않고고객정보를다루는회사라면어디는상관없이개인정보가유출되고있는실정이다. 개인정보가유출되어국민경제에악영향을미치는시점에서개인정보를보호하고그유출에대하여제재를강화하기위하여 2011년 3월 29 개인정보보호법이제정되었고, 현재까지지속적인개정을해왔으나개인정보유출은줄어들지않고, 오히려계속증가하고있다. 또한그유출의건수, 유출정보의내용, 방법등이갈수록심각하고민감한수준에이르고있다. 최근농협의예금자의예금에서거액인출사건이발생했다. 거액인출사건이신종해킹이나피싱또는파밍에해당하는전자금융사기의경우에는그손해액을보험사가보상하는보험 1) 이가동되고있다. 그러나해당은행의관리부실이나보안시스템허점또는예금자의과실로사고가발생한것으로밝혀질경우에는보험자는면책이되어책임보험자는보험금을지급할필요가없다. 이때예금자가텔레뱅킹또는인테넷뱅킹이체시고객계좌번호, 통장비밀번호, 자금이체비밀번호, 보안카드번호, 주민등록번호의정보등의관리나전화번호가연동하여보안의대상에대하여관리소홀등의책임이있는경우라면보험자는면책이된다. 즉예금자의고의또는중과실로유출되는경우는보험자의면책이다. 또한은행의정보관리부실의경우도더불어보험자면책사유가된다. 정보유출이원인인지에대하여는아직까지밝혀지지않은상태이지만전자적방법으로거래되 1) 전자금융거래법제 9 조제 4 항에따르면 금융회사또는전자금융업자는접근매체의위조나변조로발생한사고, 계약체결또는거래지시의전자적전송이나처리과정에서발생한사고또는전자금융거래를위한전자적장치또는 정보통신망이용촉진및정보보호등에관한법률 제 2 조제 1 항제 1 호에따른정보통신망에침입하여거짓이나그밖의부정한방법으로획득한접근매체의이용으로발생한사고에따른책임을이행하기위하여금융위원회가정하는기준에따라보험또는공제에가입하거나준비금을적립하는등필요한조치를하여야할 보험가입등의의무가있다. 33

정보유출배상책임보험제도개선세미나 는은행업무는정보등의보안이매우중요한사항이다. 이는기업의존립과도연관되는것일수있다. 이와같이최근에발생한사고이외에도빈발하는개인정보유출사태는간과할수없는기업의물적손해요인이며기업이미지에도타격이될수밖에없는것이다. 그러한측면에서이에관한제도적안전망의존재를확인하고이를제도적으로정착시킬수있는지를고찰해봐야할다급한시점인것은분명하다. Ⅱ 정보유출의대상인정보의의미 보호대상이되는정보란자연인을중심으로한개인정보일수도있고개인정보를기반으로한기업정보가포함될수도있다. 사이버배상책임보험의대상이될수있는정보에는개인정보를중심으로한기업정보를포함한것으로판단된다. 그러므로자연인, 법인, 사자, 부재자등의개인정보도포함되는총체적개인정보를의미하며인적정보일체를말한다고본다. 보호대상이되는정보와관련한관련법규에는개인정보보호법 2), 정보통신망이용촉진및정보보호등에관한법률 ( 이하정보통신망법 ) 3), 신용정보의이용및보호에관한법률 ( 이하신용정보법 ) 4) 및전자금융거래법등이있다. 5) 이에따라보호대상이되는정보라함은 " 개인정보 " 란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 6) 또는살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 7) 를말한다. 이상을종합하면개인정보란개인의정신, 신체, 재산, 사회적지위, 신분등에관한사실 판 2) 2011 년 9월 30일법제10465호제정후최근 2014 년 3월 24일개정으로 2016 년 1월 1일시행이예정되어있다. 3) 1986년전신법인 ' 전산망보급확장과이용촉진에관한법률으로제정된후법명을바꾸어오늘에이른다. 4) 1995년 1월 5일법률제4866 호제정후최근 2014 년 11월 19일에개정된바있다. 이법에따른보호대상정보는동법제2조 1호및 2호에따라신용정보및개인신용정보를의미하는데신용정보중개인의신용도와신용거래능력등을판단할때필요한정보를말한다. 5) 법의적용순서를보면개인정보보호법은일반법으로서전체를포괄하므로특별법중전자금융거래법, 신용정보법이우선적용되고, 관련사항이해당적용대상이아닌경우정보통신망법등의특별법이우선적용된다. 이특별법에규정이미비하거나다시금해당법위가아닌경우개인정보보호법이적용된다. 6) 정보통신망이용촉진및정보보호등에관한법률제2조 6호. 7) 개인정보보호법제2조 1호. 34

토론문 1 정보유출배상책임보험도입방안 단 평가를나타내는개인에관한정보를말한다. 뿐만아니라개인정보에포함되어있는성명, 주민번호등의사항에의하여개인을식별할수있는정보까지도개인정보라고본다 8). 헌법재판소는개인정보에대하여 개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나사사 ( 私事 ) 의영역에속하는정보에국한하지않고공적생활에서형성되었거나이미공개된개인정보까지포함한다. 라고판시한바 9) 있다. 유형구분일반정보가족정보교육및훈련정보병역정보부동산정보소득정보기타수익정보신용정보고용정보법적정보의료정보조직정보통신정보위치정보신체정보습관및취미정보 < 개인정보보호위원회의개인정보분류표 > 개인정보항목 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적 가족구성원이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 학교출석사항, 최종학력, 학교성적, 기술자격증및전문면허증, 이수한훈련프로그램, 동아리활동, 상벌사항 군번및계급, 제대유형, 주특기, 근무부대 소유주택, 토지, 자동차, 기타소유차량, 상및건물등 현재봉급액, 봉급경력, 보너스및수수료, 기타소득의원천, 이자소득, 사업소득 보험 ( 건강, 생명등 ) 가입현황, 외사의판공비, 투자프로그램, 퇴직프로그램, 휴가 병가 대부잔액및지불상황, 저당, 신용카드, 지불연기및미납의수, 임금압류통보에대한기록 현재의고용주, 회사주소, 상급자의이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격테스트결과, 직무태도 전과기록, 자동차교통위반기록, 파산및담보기록, 구속기록, 이혼기록, 납세기록 가족병력기록, 과거의의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트등각종체테스트정보 노조가입, 종교단체가입, 정당가입, 클럽회원 전자우편 (e-mail), 전화통화내용, 로그파일, 쿠키 (cookies) GPS 나휴대폰에의한개인의위치정보 지문, 홍체, DNA, 신장, 가슴둘레등 흡연, 음주량, 선호하는스포츠및오락, 여가활동, 비디오대여기록, 도박성향 < 출처 : 개인정보보호위원회 10) > 구분 개인정보보호법 < 관련법상개인정보의정의 > 내용 ( 제 2 조 1) 개인정보 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하 8) 다만이경우개인정보이외의행태정보를수집, 가공, 양도하는경우는정보통신망이용촉진및정보보호등에관한법률에따른정보에는해당하지않는다. 9) 헌법재판소 2005.5.26. 선고 99헌마513 결정. 10) http://www.pipc.go.kr/ 35

정보유출배상책임보험제도개선세미나 구분 정보통신망이용촉진및정보보호등에관한법률 신용정보의이용및보호에관한법률 위치정보의보호및이용등에관한법률 < 출처 : 국가법령정보센터 > 내용 여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다. ( 제 2 조 6) 개인정보 란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. ( 제 2 조 1) 신용정보 란금융거래등상거래에있어서거래상대방의신용을판단할때필요한다음각목의정보로서대통령령으로정하는정보를말한다. 가. 특정신용정보주체를식별할수있는정보나. 신용정보주체의거래내용을판단할수있는정보다. 신용정보주체의신용도를판단할수있는정보라. 신용정보주체의신용거래능력을판단할수있는정보마. 그밖에가목부터라목까지와유사한정보 ( 제 2 조 2) 개인위치정보 라함은특정개인의위치정보 ( 위치정보만으로는특정개인의위치를알수없는경우에도다른정보와용이하게결합하여특정개인의위치를알수있는것을포함한다 ) 를말한다. 정보통신망을통하여정보가유출되는과정에서의 침해사고 란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태를말하고 ( 정보통신망법제2조 7호 ), 전자금융거래상의 전자적침해행위 란해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로전자금융기반시설을공격하는행위를말한다 ( 전자금융거래법제2조 22호 ). 정보유출을방지하는보안기술에는암호알고리즘을사용한인증, 방화벽, 바이러스방지시스템, 비밀번호관리가핵심적인데이에덧붙여이를실제로관리하는보안정보책임자 (Admin) 의인적관리가매우중요한핵심적인요소이다. 이러한것의구비여부가정보유출과관련한사업자의책임성을판단하는기준이될수있다. Ⅲ 정보유출과배상책임의문제 1. 개요피보험자의사이버상에서의행위로인하여정보유출이됨으로써피보험자가제3자에게손해를일으켜배상책임에근거하여부담하여손해배상으로생기는피보험자의재산상의손실을전보하는보험이곧정보유출배상보험일것이다. 정보가유출되는이유는다양하겠지만주로해킹이나 DOS공격등에의한경우도있고산업스파이에의한정보에의접근과침해가있을수있다. 어떠 36

토론문 1 정보유출배상책임보험도입방안 한형식으로든지이정보등을관리하고관련정보에근간하여기업을운영하는자는정보유출로인한정보제공자에의손해를배상할책임이있다. 그런데이책임을기업의개별책임으로수인하기에는기업운영이나기업지속가능성측면에서큰부담이되므로이를사회책임의전환하여위험을분산하는방식으로보험제도를이용하고자하는것이곧정보유출책임보험의제도적필요성일것이다. 2. 해외사례 1) 미국미국의경우는사이버책임보험 (Cyber Liability Insurance; CLI) 을판매하고있다. 그담보범위가상당히광범위하다. 사이버상의행위로인하여제3자또는기업을운용하는피보험자에게발생한손해를담보하는것이이보험의특징이다. 11) 2) 독일 1 IT-책임보험독일에서의 IT-책임보험이란 IT관련전문가와서비스제공자가영업과정에서생기는배상책임, 즉인적손해, 물적손해및재산적손해에대하여전문적인담보를해야하는경우에이를전보하는보험이다. IT 분야와관련하여발생하는전형적인위험을인수하여재산상의손해를담보범위로한다. 즉이보험은사실상독일에서기업이가입하는보편적인영업책임보험 (Betriebshaft pflichtversicherung) 으로전보하지못하는위험이나영업행위와관련한업무로인해생겨난손해를전보하는데충분하지못한여타의손해를추가적으로전보시켜주는것이다. 12) 2 Cyber 보험 (Cyber Versicherung) 13) Cyber 보험은개인정보를관리하는차원에서발생한정보보호위반에기인하여발생한제 3 자에 대한손해를전보해주는보험으로서책임보험의형식으로확장되어제공된다. 이는개인정보와 11) 이에관한구체적인것은최창희박사님의연구자료에의존한다. 12) Mit unserer speziellen IT-Haftpflichtversicherung für IT-Experten und IT-Dienstleister genügen wir höchsten Ansprüchen und bieten unseren Kunden damit eine professionelle Absicherung vor Personenschäden sowie Sachund Vermögensschäden. Wir bieten Ihnen den Nachweis hoher Deckungssummen für Vermögensschäden, die in der IT-Branche typischerweise auftreten. Leider ist dies keine Selbstverständlichkeit in der IT-Branche, da selbst eine übliche Betriebshaftpflichtversicherung die Risiken und Tätigkeiten eines IT-Experten nicht genügend abdeckt; https://www.was-ist-datenschutz.de/unternehmen/it-haftpflichtversicherung.html. 13) Der Versicherungsschutz unserer CyberEdge-Police erstreckt sich auf die Haftpflichtversicherung von Unternehmen und versichert Sie bei Schäden, die aufgrund von Datenschutzverletzungen bei der Verwaltung von personenbezogenen Daten entstehen können. Das Produkt bietet Versicherungsschutz für Ansprüche Dritter gegen den Versicherten, sowohl für die Verletzung personenbezogener Daten (Mitarbeiter- und Kundendaten), als auch für die Verletzung von Unternehmensdaten; http://www.aig.de/cyberedge_3194_435521.html. 37

정보유출배상책임보험제도개선세미나 관련한종업원과고객의정보뿐만아니라기업정보와관련한정보유출등으로인한손해에대하여피보험자 ( 기업 ) 에대하여피해당사자인제3자가행사하는손해배상청구에대하여보험상의보호를하는것이다. 이책임보험에따른보상범위는기본형과계약내용의선택에따른부가형이있다. 14) 기본형은일명데이터책임 (Data Haftpflicht) 을담보하는것으로개인정보, 기업정보, 아웃소싱계약및네트워크안정망에관한책임문제를담보한다. 선택형I은 DOS공격이나보안위반에따른보험계약자의네트워크차단, 또는네트워크상심각한장애의결과생겨난손해로서일종의영업중단으로인한손해를전보하고, 선택형 II는일종의복합네트워크책임 (Multimedia-Haftpflicht) 으로서전자적인내용을통한지적재산의침해또는인격권의침해의경우제3자의부당한배상청구의방어또는정당한손해배상에대한이행에대한것이다. 그외기타재판상조사비용및안전침해에대한방어비용도부보된다. 15) 독일의경우이사이버책임보험의가입비율은 2014년을기준으로 3.6% 에불과한실정이고, 현재이보험에가입을준비하는회사가 7.9%, 장래에고려해볼것이라고답변한회사는 24.2% 이며, 기타 64.3% 는무관심을나타냈다. 16)17) 현재로서는이보험의가입에대한필요성을체감하지못한다는의미로읽혀진다. 일반적인기업이이보험에가입을하기위해서는보험료가약 100.000 ~200.000 유로정도로고액으로알려진다. 독일의경우이보험에대하여보상범위와보험사고의경우보험자의급부를정확하게산정하는것이어렵다는것과중소기업에게는지나치게고액의보험료로인한부담으로현재로서는기업에설득력을얻지는못하고있다. 그러나헤커의공격으로희생자가되고과실로정보 ( 데이터 ) 를분실할개연성이건물에화재가발생하여소실된개연성보다더높다고판단하고있기는하다. 그러나이경우화재보험에가입하며피보험목적물이나건물에대하여그보험가액을판단하기비교적쉽기때문에기업측면에서는화재보험에의계약체결의요인을더가진다는것이다. 사이버공격을통하여얼마만큼의손해액을산정할수있을지에대하여기업스스로가명백하게인지할수없기때문에근본적으로이보험에대하여회의적이라고한다. 18) 14) Deckungsumfang Daten-Haftpflicht versichert personenbezogene Daten, Unternehmensdaten, Outsourcingverträge und Netzwerksicherheit Optional: Netzwerk-/Betriebsunterbrechung versichert sind entgangene Gewinne infolge einer maßgeblichen Unterbrechung des Netzwerkes des Versicherungsnehmers nach einer DOS-Attacke oder einer Sicherheitsverletzung Optional: Multimedia-Haftpflicht versichert sind die Befriedigung berechtigter und die Abwehr unberechtigter Schadenersatzansprüche Dritter wegen der Verletzung geistigen Eigentums, Persönlichkeitsrechtsverletzungen oder anderer Sorgfaltspflichtverletzungen durch elektronische Inhalte Erstattung der Kosten für forensische Untersuchung und Abwehrkosten wegen angedrohter Sicherheitsbeeinträchtigungen 15) 기타 16) Quelle: Corporate Trust 2014; http://www.corporate-trust.de/pdf/ct-studie-2014_de.pdf. 17) 동일한내용으로오스트리아기업에조사한바로는각각 3.4%, 5.1%, 22%, 69.5% 에달한다. 38

토론문 1 정보유출배상책임보험도입방안 사이버책임보험의장래필요성에대한설문에서독일의경우는매우중요함 (3.3%), 중요함 (12. 3%), 중요하지아니함 (10.1%) 그리고선택적임 (74.3%) 으로나왔고오스트리아의경우는각각 5. 1%, 14.4%, 8.5%, 72% 가나왔다. 19) 3 신용보증보험기업에고용된종업원이불법행위또는범죄행위등으로제3자에게손해를입힌경우이를전보해주는보험이신용보증보험이다. 즉기업의종업원이나기타기업에서신뢰하는인물이나관재인에의하여일으켜진불법행위로부터생긴재산상손해를전보해주는보험으로서주로상업신용보험이라고한다. 이러한신용보증보험은기업의 IT를관리하는과정에서기업의종업원이제3 자에게일으킨손해에대하여도배상책임을부담한다. 이때기업의 IT를관리하는과정에서제3 자의정보를유출한경우가해당사례가될것이다. 물론불법행위의유형은매우광범위한데그유형으로는사기, 횡령, 절도, 배임, 물건손괴, 태업또는독일민법제823조 ( 우리민법제750 조 ) 에따라손해배상의무가발생하는기타고의에의한불법행위가여기에속한다. 일반적으로기업자체에생겨난손해뿐만아니라제3자에게가해진손해를포함하여보상하여준다. 상업보증보험은일종의신용보험의일종으로다룬다. Ⅳ 문제점 1. 가입기준정보유출배상책임보험의대상이사이버상행위로인한정보유출인데과연사이버상의행위에포함되는것이무엇인지를확인할필요가있다. 최근에발생한농협에서의예금인출사건이일반적인사이버상의행위에구체적으로해당되는지의여부를아직확인할길이없다. 예금자의경우는인터넷뱅킹이나텔레뱅킹을이용한바가없는경우라고하므로이에대한사실관계에대한확정이필요한부분이다. 개인정보가유출된사건중손해배상청구가있었던사례는아래의표와같다. 사실상정보를 관리하는회사가소비자의정보가유출되어해당소비자에게손해가발생하여이를기준으로손 18) Die Wahrscheinlichkeit, Opfer eines Hackerangriffes1 zu werden oder durch Fahrlassigkeit Daten zu verlieren, ist zwar wesentlich hoher als zum Beispiel ein Brand eines Fabrikgebaudes. der Wert einer Feuerversicherung lasst sich jedoch relativ leicht am Wert der zu versichernden Gebaude und Gegenstande beurteilen; Industriesponage 2014, Corporate & Trust, S. 63. 19) Industriesponage 2014, a.a.o., S. 65. 39

정보유출배상책임보험제도개선세미나 해배상청구를하여도현재로서는기업보호차원상소비자의손을들어주는편은아니고, 설령손을들어준다하여도손해로인한배상금액이그다지의미있는수준은아닌편이었다. 그러나최근빈발하는정보유출사고에대한인식이제고되는측면도있고그피해규모도커지는측면에서정보를관리또는이용하는회사에게손해에대한배상을묻고자하는분위기로전환되고있는추세이다. 다만해당기업이정보처리나관리에대하여관련법규에서요구하는기술적안전조치를다하는등의주의의무를기울인경우그책임을전부면책해주고는있지만, 최근그면책조건을보다엄격하게적용하여정보유출그자체만으로해당기업이일정수준의책임을부담하여야한다는엄격책임의원리적용의취지의의견도있어관련법규의정비가차후에필요할수도있을것이고정보처리나관리와관련한위험을보험의대상으로하는보험의필요성이끊임없이요구될것이다. < 유출경위별주요손해배상청구사례 > 유출경위회사 ( 피고 ) 사건번호결과진행 GS 칼텍스대법원 2011 다 59834 원고패확정 엔씨소프트대법원 2007 다 17888 원고승 ( 각 10 만원 ) 확정 내부과실 국민은행서울고법 2007 나 33059, 33066 원고승 ( 각 20/10 만원 ) 확정 LG 전자대법원 2008 다 96826 원고승 ( 각 30 만원 ) 확정 외부침입 옥션서울고등법원 2010 나 31510 원고패상고심 SK 컴즈 서울중앙지법 2011 가합 90267 원고패항소심 서울서부지법 2011 가합 11733 기타 SK 브로드밴드서울고등법원 2011 나 67493 (2014.8 월말기준 ) 원고승 ( 각 20 만원 ) 원고승 ( 각 20 만원 ) 항소심 확정 문제는위와같은정보유출로인한위험을담보해주는보험의가입기준을어떻게설정하는지의문제이다. 현실적으로그간정보유출로인하여기업지속의위기를느낀기업은보험가입에의필요성이있을것이라고판단할것이지만, 정보관리를철저히하기위하여각종인프라를구축하고위험에대비하는등의역량을강화하고있는기업의입장에서는이러한보험에대한수요나긴급성을그다지인식하지않고있을것이다. 결국리스크수준이상대적으로높은잠재보험수요자가해당리스크를관리하기위하여보험상품에가입할경향 (propensity) 이높거나더높은담보범위 (insuracnce coverage) 또는보장률을설정하려는경향이높기때문에이러한현상을보험자가감안하지않을수없는것이다. 결국이는보험에대한역선택 (Adverse Selection) 의문제가되는것이다. 이러한상황이라고하면정보유출관련배상책임보험을상품으로시장에출 40

토론문 1 정보유출배상책임보험도입방안 시하여보험을인수할보험자에게는보험사고의위험도가높은기업과보험계약을체결해야하는또다른위험을감수하여야하는데과연기업차원에서위험을대비하는기업이아닌사고의개연성이높은기업과흔쾌히보험계약을체결할것인지는의문이다. 이는결국정보유출배상책임보험의시장의크기의문제이며 IT와유관한가입대상기업의보험에대한계약체결요인등에관한문제이다. 이를해결하기위해서는배상책임보험을의무보험화해야하는데정보유출등의사회적인안전망을넘는사건에대하여수지상등의원칙을기반으로한영리보험사가이러한사회적위험을과연전적으로인수할것인지도판단해보아야할부분이다. 결국이러한상황에서의무보험으로시행하려면보험사에게그에대한인센티브가있어야하거나제도적인장치를통하여보상한도를기술적으로정하여야할것이다. 2. 보상범위사이버상에서의정보유출로인한보험자의보상범위도또한그범위를확정하는것이쉬운문제가아니다. 보상범위는보험자가인수한보상의범위가중요한기준이다. 보험자가주계약을통해서정한보상범위와추가적으로부보를약정한특약의범위는무엇인지에따라다르다. 이러한보상범위를확정하기위하여는무엇을손해사고로하고그에따라어디까지를보험사고로하는지를확정하여야한다. -1 사이버상에서생겨난손해사고라고한다면손해를일으킨원인이나방법은불문하는지, -2 보호범위를개인정보유출에한정한다하더라도그손해사고를어디까지로한정할것인지 -3 그렇다고한다면피해액의산출은어떻게해야하는것이지가문제된다. 여기에서 1과 2와관련해서손해사고의원인이나방법과연동하여그범위는앞선정보관련법규범에서한정하고있는원인및범위로한정하는것이제안될수있다. 즉해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위로인하여발생한사태, 즉침해사고로한정하면될것이다. 그러나최근에그범위를넘어서는신종의방법들이양산되고있으므로본질적인해결책에해당하는범위설정은되지못한다. 특히이러한류의책임보험은보험계약당시에보험가액을정할수없는미평가보험에해당하므로보험금액의범위를계약상우선정하여야한다. 또한사이버를영업무대로하는사업자의범위를확정하여야하고사업자별로주의의무정도를일률적으로정할수없어서이를구체화할수있는기준설정이중요한문제이다. 사업자가보안시스템을유지하고관리하는정도가다르므로이에대한위험계산을위한기술적인것이확정되어야한다. 41

정보유출배상책임보험제도개선세미나 위와같은손해사고를기준으로발생한보험사고를확정하여야하여야한다. 보험사고가확정되면그다음은보험에서보상하게될손해산정및확정이문제이다. 이는 3 피해액의산출에대한문제인데과연어느범위까지를피해액으로확정할것인가가의문이다. 재물보험, 예컨대화재보험에서는화재로인한유형의자산을기준으로그가액을정하는것이일반화되어교환가치로그것을정할수있는것이지만과연정보유출피해에서의피해액에서의인과관계문제는무형자산과의관련성이있으므로매우추상적인문제이다. 20) 궁극적으로사이버상에서의정보유출로인한손해산정을위한전제조건은이를산정한손해사정인의전문성이확보되어야한다. 또일반적으로손해발생당시라고판단되는때에외부로출현되지아니한추가손해의문제는어느범위에서수인을할것인지도문제이다. 이는후술할보상한도와연동하는부분일것이다. 3. 보상한도정보유출배상책임보험의손해사고를확정하고이에따라보험사고를명확하게설정하는것이다른보험에비하여난해한측면이있고보험가액을처음부터정하는게기술적으로어렵기때문에이보험을활성화하기위해서는보험자가인수할보상한도를보험기술적으로정하는것이좋을것같다. 보상한도는당연유한보상의방법을취하겠지만이를건별로할것인지총액을기본으로할것인지는정책적인측면이있다고본다. 직접적인연관관계는없으나최근자동차보험이손해율을낮추고가입자의도덕적해이현상을억제하기위한방법으로보험요율을정함에있어서자동차보험건수제로전환한바있다. 금액제로할것이지건수제로할것인지는제도적인선택의문제이다. 독일의자동차보험의경우는우리와는다른일원적책임보험체계인데여기에서보상한도는건별과총액제 21) 를연동하여하는데이러한것이보험자의유한책임을근거로한보험정책에해당하는것이다. 그러므로정보유출배상책임보험에서이를건별로할것인지총액제로할것인지의문제는보험을인수하는보험자가결정할문제이다. 다만정보유출배상책임보험은기업보험의성질을가지므로보험자와보험계약자사이의유한배상책임의범위에서상호계약적합의를할수도있다. 20) 경우에따라서는의료정보등의민감정보등이포함될수도있어손해를산정하는것이곤란할것이다. 21) 현재전자금융거래법에근거하여금융거래업자가가입하여야하는보험의경우는총액제로운용되고있다. 42

토론문 1 정보유출배상책임보험도입방안 Ⅴ 제언 정보관련기술이발달하면할수록역설적으로보호해야할정보의양도많아진다. 특히정보가산업상거래적인요소가되는경우라면그보호의필요성은더욱더대두된다. 그런데최근그러한보호필요성에도불구하고잦은정보유출로인하여산업에막대한피해가드러나고있으며사회적인불신도만만치않다. 기업이안심하고기업활동을할수있도록제도적으로부조할수있는것중의하나가보험제도이다. 특히기업을영위하는과정에서생기는제3자에대한손해배상과관련한책임문제에서비교적자유롭기위해서는보험제도를잘이용하여야할것으로보인다. 그중영업책임과관련하여정보유출로인한제3자의피해를전보하는정보유출배상책임보험의도입은긴급하다. 다만보험기술적인보완이필요하고전제조건적인인프라가동시에구축되어야한다. 더욱이이보험을운용함에있어서관련기업의가입의무화가바람직한지는원활한기업활동을위해서필요한부분인것으로판단된다. 다만사회적안정망을제도적으로확보하는측면에서는의무화가가지는의미가크지만그럼에도불구하고가입의무화에대한저항을있을수밖에없다. 결국은가입이강제되는것에대한제도적인유인책은분명하여야한다. 경제학의주요원칙중의하나인 인간은유인체계에반응한다 는것에있고, 이러한경제학적원칙은보험분야에도적용되기때문이다. 43

토론문 정보유출배상책임보험의가입의무화에관한연구 신영수 ( 법무법인 ( 유 ) 율촌변호사 )

토론문 2 정보유출배상책임보험의가입의무화에관한연구 토론문 2 정보유출배상책임보험의가입의무화에관한연구 신영수 ( 법무법인 ( 유 ) 율촌변호사 ) 1. 서론개인정보보호와관련해서는사전적으로개인정보가불법적으로유출되지않도록하는것이매우중요하다고할것이다. 또한, 개인정보가유출되었을경우그로인한개인정보주체의피해를보상하는것또한개인정보보호제도의중요한축이되어야할것이다. 이러한점에서, 최근활발히논의되고있는개인정보유출사고관련집단소송제도, 징벌적손해배상제도및법정손해배상책임제도등은매우시의적절하다고본다. 그러나, 이와같은개인정보유출로인한손해배상제도가보완된다고하더라도, 개인정보보호법상의 개인정보처리자, 신용정보의이용및보호에관한법률 ( 이하 신용정보법 ) 상의 신용정보회사등, 그리고정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 ) 상의 정보통신서비스제공자등 은개인정보유출에대하여손해배상책임을부담하는자에게경제적배상능력, 즉책임재산이충분하지않는경우에는실질적으로피해자들이충분한구제를받을수없게되는문제가발생하게된다. 그런데, 정보유출배상책임보험의가입을의무화하는것은그와같은문제를해결할수있는효과적인수단이라는점에서, 정보유출배상책임보험의의무화를주장하는발표자의견해에찬성한다. 다만, 다음에서는정보유출배상책임보험의가입을의무화하는구체적인방안과관련하여고려할필요가있다고생각되는몇가지사항들에대하여간략히살피도록하겠다. 2. 헌법상기본권및과잉금지의원칙헌법상의기본권을제한함에있어서는이른바 과잉금지의원칙 이적용되는데, 이와관련하여우리헌법재판소는국민의기본권을제한하려는경우에는, (i) 국민의기본권을제한하려는입법의목적이헌법및법률의체제상그정당성이인정되어야하고 ( 목적의정당성 ), (ii) 그목적의달성을위하여그방법이효과적이고적절하여야하며 ( 방법의적절성 ), (iii) 입법권자가선택한 47

정보유출배상책임보험제도개선세미나 기본권제한의조치가입법목적달성을위하여설사적절하다할지라도보다완화된형태나방법을모색함으로써기본권의제한은필요한최소한도에그치도록하여야하며 ( 피해의최소성 ), (iv) 그입법에의하여보호하려는공익과침해되는사익을비교형량할때보호되는공익이더커야한다 ( 법익의균형성 ) 고판시하고있다 ( 헌법재판소 1990. 9. 3. 자 89헌가 95 결정등참조 ). 그런데, 정보유출배상책임보험가입의의무화는 (i) 개인정보침해사고가발생할경우그피해가심각하므로그에대하여선제적으로대응할필요가있다는점, 개인정보처리자등기업의입장에서도개인정보유출사고와관련된집단소송제도, 징벌적손해배상제도및법정손해배상책임제도등에대비할필요가있다는점, 개인정보침해로인한피해보상을위해서는개인정보처리자등의경제적배상능력의확보가필수적이라는점등에서 목적의정당성 이인정되고, (ii) 개인정보처리자등으로하여금의무적으로정보유출배상책임보험에가입하도록함으로써피해자들이실질적으로효율적인보상받을수있게한다는점에서는 방법의적절성 도충족되며, (iii) 개인정보보호법, 신용정보법및정보통신망법등에대한개정법률안들에서가입의무자의범위, 보험가입및자산예탁의기준등을합리적으로정하거나시행령에위임할경우에는 피해의최소성 도인정되고, (iv) 개인정보처리자등의배상책임보험의가입강제는정보주체의피해를신속하고효과적으로구제하고, 개인정보처리의신뢰와안전성을확보하여정보통신산업의선진화를제고함으로써공공복리를증진하는중요한역할을한다는공익과보험가입강제에따라침해되는영업의자유내지재산권에대한제한이라는사익을비교할때, 전자가훨씬크다고할것이므로 법익의균형성 도충족되며, 따라서이와같은배상책임보험의의무화는과잉금지의원칙에위반되지않는것으로보인다. 이와관련하여, 각개정법률에는정보유출배상책임보험의가입의무자를 개인정보처리자, 신용정보회사등 1) 및 정보통신서비스제공자등 으로되어규정되어있어모든 개인정보처리자, 신용정보회사등 및 정보통신서비스제공자등 에게정보유출배상책임보험의가입이강제되고있으나, 이를 대통령령이정하는개인정보처리자, 대통령령이정하는신용정보회사등 및 대통령령이정하는정보통신서비스제공자등 으로수정함으로써의무가입대상자를합리적인범위로한정할필요가있다고생각한다. 3. 의무보험가입의강제수단확보필요우리나라는현재약수십개의의무보험제도가도입되어시행되고있으나, 실제로의무보험에가입한비율은극히저조하다고한다. 정보유출배상책임보험의경우에도이를의무화한다도하더라도이를강제할수있는수단이없으면, 실제로위의무보험에가입하는비율을극히저조할수밖에없을것으로예상된다. 따라서, 의무보험에가입하지않은경우에는과태료, 영업정지등행 1) 다만, 정무위원회안에는 대통령령으로정하는신용정보회사등 으로변경되어있다. 48

토론문 2 정보유출배상책임보험의가입의무화에관한연구 정제재나벌금등형사제재등을부과하는방안을고려할필요가있다. 의무보험가입강제의효율성측면에서는벌금등형사제재, 영업정지등행정제재및과태료의순서로효율적일것이나, 헌법상의과잉금지의원칙과의관계에서는 과태료 의경우에는별문제가없을것으로생각되나 영업정지등행정제재나벌금등형사제재 는위헌의가능성이좀더높아질것으로보인다. 따라서, 정보유출배상책임보험에가입하지않는경우에는 과태료 정도의제재를부과하는것이적절한것으로생각된다. 이점에서, 신용정보법개정안 ( 정무위원회안 ) 에서과태료제재가제외된것은문제가있다고본다. 4. 신용정보법개정안 ( 정무위원회안 ) 에서의 준비금적립 에대하여신용정보법개정안 ( 정무위원회안 ) 에서는 보험또는공제에가입하거나준비금을적립하는등필요한조치를취하여야한다 라고규정하고있습니다. 그러나, 보험이나자산의예탁과달리, 기업이단순히회계상으로 준비금 을적립하도록할경우에는기업은해당준비금을금융기관에의예치등의방법으로확보하지아니하고단순히회계장부상으로만계상할위험이있다. 그렇게되면, 피해가발행했을때에해당준비금에상당하는금전 ( 또는그에상응하는유동성자산 ) 이존재하지않을수있어, 피해자가현실적으로손해보상을받지못할위험이있습니다. 따라서, 신용정보법개정안 ( 정무위원회안 ) 에포함된 보험또는공제에가입하거나준비금을적립하는등필요한조치를취하여야한다 는부분을, 당초원안과비슷하게 보험또는공제에가입하거나 금융위원회의설치등에관한법률 제38조제1호내지제8호의기관에자산을예탁하여야한다 와같이수정하는것이타당하다고생각한다. 5. 면책사유관련개인정보처리자등의 고의에의한사고 를보상범위에서제외할것인지와관련해서는, (i) 보험계약은최대선의 (utmost good faith) 에기초한계약으로, 계약당사자에게일반계약에서보다더많은보호의무를요구하며, 이와같은선의성은보험계약의해석원칙으로도기능한다는점, (i i) 상법은위와같은보험계약의선의성을유지하기위하여제659조에서 보험사고가보험계약자또는피보험자나보험수익자의고의또는중대한과실로인하여생긴때에는보험자는보험금액을지급할책임이없다 고규정하고있는점, (iii) 배상책임보험의보상범위를고의사고까지확장할경우이는곧바로보험료인상으로이어져기업들의경제적부담을가중시키게될뿐만아니라, 기업들이사고를방지하기위한노력을소홀이할인센티브또는도덕적해이 (moral hazar d) 을유발할우려가있다는점에서, 발표자의견해와같이, 개인정보처리자등의 고의에의한사고 는배상책임보험의보상범위에서제외하는것이타당하다고생각한다. 또한, 현재판매되고있는전자금융거래배상책임보험에서는 피보험자가고의또는중과실로 49

정보유출배상책임보험제도개선세미나 법령을위반한경우 에도면책사유로규정하고있는바, 위에기술한것과같은이유에서 피보험 자가고의또는중과실로법령을위반한경우 에도면책사유로규정함으로써개인정보처리자등 으로하여금정보유출을방지하기위하여적절한조치를취하도록할필요가있다고본다. 6. 부가서비스관련 AIG나 Allianz 등외국보험사들이판매하는사이버배상책임보험 (Cyber Liability Insurance, CLI) 의경우에는보험회사가보험계약자에게 사이버위험평가서비스, 사이버위험관련교육서비스, 사이버위험관리컨설팅및사고발생시실시간대응서비스 등과같은부가서비스를제공하고있다. 우리나라보험회사들의경우에는정보유출배상책임보험상품에그와같은부가서비스가포함되도록함으로써, 개인정보유출사고를예상하고, 보험사고의발생율을낮추며, 또한보험사고발생시신속하고효율적으로대응할수있도록할필요가있다. 다만, 이와같은부가서비스의제공과관련해서는보험업법제98조규정의 특별이익제공금지 가문제될수있는데, 이는자동차보험에서의부가서비스와마찬가지로금융감독당국이적극적으로허용할필요가있다고생각한다. 7. 보험의중복문제개인정보법, 신용정보법및정보통신망법등에서각각개별적으로정보유출배상책임보험의가입을강제할경우에는하나의사업자가동일하거나유사한하나의정보유출위험에대하여 2개또는 3개의정보유출책임보험에의무적으로가입해야하는문제가발생할수있다. 이와같은문제를해소하기위해서는, 신용정보법에따른의무보험의담보내용에 신용정보법상의손해배상책임뿐만아니라개인정보법및정보통신망법상의손해배상책임 까지포함하도록하고, 대신에신용정보법에따른의무보험에가입하게되면개인정보법및정보통신망법에따른책임보험에는가입하지않아도되도록입법적으로규정할필요가있다. 마찬가지로, 정보통신망법에따른의무보험의담보내용에 정보통신망법상의손해배상책임뿐만아니라개인정보법및신용정보법상의손해배상책임 까지포함하도록하고, 대신에정보통신망법에따른의무보험에가입하게되면개인정보법및신용정보법에따른책임보험에는가입하지않아도되도록입법적으로규정할필요가있다. 50

토론문 정보유출에따른배상책임보험도입과관련하여 조남희 ( 금융소비자원대표 )

토론문 3 정보유출에따른배상책임보험도입과관련하여 토론문 3 정보유출에따른배상책임보험도입과관련하여 조남희 ( 금융소비자원대표 ) 최근대규모정보유출을계기로개인정보의문제는금융사만의문제가아닌국가적문제가되고있다고할수있다. 경제활동자대부분의개별정보가일반정보가되었다고해도과언이아니다. 정보유출사태를계기로정보의공유, 교환이나법적제도의개선등이이루어지고있다고하지만, 여전히금융소비자측면에서의실질적인구제수단으로서의대책은크게진전되고있지못한것이현실이다. 이러한상황에서오늘논의하는정보유출에따른배상책임보험의제도도입은금융소비자피해에대한실질적인구제수단의하나가될수있다는점에서의의가있다하겠다. 정보유출배상책임보험의제도의도입이된다면, 긍정적인부분을 5 가지로요약해볼수있을 것이다. 1. 금융소비자의손해배상청구가용이 기존의방법으로는약자인피해자, 금융소비자가손해배상을받기위해서는상당한제약이있 었으나제한된범위에서보다쉽고빠르게보상받을수있다는것이다. 2. 금융사의무조건적책임회피인식변화금융사고에서금융사는대부분책임을회피하거나법을내세워피해구제에대해소극적이었다고본다. 책임보험도입을통해일정부분책임부분에대해서는명확히보상을제시한다는점에서과거보다는진전된책임의식을갖게할것으로기대할수있다는점이다. 3. 금융당국의개입축소와금융사의자율제고 금융사고시마다금융당국의개입이필연적이었고그상황에서항상금융당국의규제와간섭은 증가해왔다. 하지만보험도입으로인해자율적조정과해결의방법이도입되어당국의간섭을줄 53

정보유출배상책임보험제도개선세미나 이면서업계의자율성을제고시킬수있을것이다. 4. 보험사의구상권을강화를통한정보유출관련불법행위단절 피해보상을해준보험사가구상권을적극적으로행사하게됨으로서정보유출자나판매자, 유통 업자등에대한강력한구상권행사는불법정보관련자들의재산의압박이 5. 전자금융사고확대시행및사고예방기대개인정보유출형전자금융사기행위에대하여피해자의정보유출행위를이유로하여금융회사의면책주장과법원의수용등으로인해금융소비자피해가제대로보상되지않으나, 이에대한구제도확대될수있을것으로보인다. 정보유출관련소송의경우만보더라도일부하급심에서소비자에게유리한결과도있었지만대부분은피해자인금융소비자입장에서는구제가되었다고보기어려운것이현실이다. 정보유출로인한금융소비자피해에대한다양한사례의검토를통하여합리적이고명확한기준이설정되고손해배상의청구등구제방안이미비한현시점에서오늘논의되는정보유출배상책임보험제도는이를보완하는것이고, 이를바탕으로정보주체자인금융사, 금융당국등이지금보다확연하게진전된소비자정보보호및구제제도가도입하고시행, 정착시키는데노력해야할것이다. 54