'정보통신망법'에 해당되는 글 12건

  1. 2019.08.28 Q&A로 풀어본 개인정보보호배상책임보험의 모든 것
posted by 알짜 정보 岳岩 2019.08.28 07:39

보안뉴스·시큐리티월드 주최 ‘사이버보험 의무화 시행, 의무가입 대상 기업을 위한 3대 보험사 공동 간담회’
KB손해보험·삼성화재해상보험·DB손해보험 등 보험 3사 관계자들에게 들어본 개인정보보호배상책임보험2


[보안뉴스 원병철 기자] 2016년 3월 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)’에 따라 정보통신서비스 제공자 등은 제32조의2에 따른 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 취하게 됐다. 특히 개정된 시행령에 따라 ①직전 사업연도 매출액이 5,000만원 이상이고 ②전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자수가 일일평균 1,000명 이상인 기업은 의무적으로 가입하도록 됐다. 문제는 법적 시행일인 2019년 6월 13일까지 관련 보험이 출시되지 못했고 의무가입 대상에게 충분한 설명이 이뤄지지 않았기에 오는 2019년 12월 31일까지 유예됐다.

▲개인정보보호배상책임보험2 가입 의무화 시행, 의무가입 대상 기업을 위한 3대 보험사 공동 간담회[사진=보안뉴스]


정보통신망법이 개정되면서 바뀌는 것이 하나둘이 아니었지만, 특히 ‘개인정보보호배상책임보험’, 일명 사이버보험 의무화는 많은 이슈를 불러왔다. 게다가 의무가입이 확정된 6월 13일 이후에도 사이버보험 상품이 출시되지 않았고, 논란 속에 정부가 올해 12월 31일까지 가입을 유예하면서 기업들의 고민은 커져만 갔다.

이러한 상황 속에서 드디어 개인정보보호배상책임보험이 출시됐다. 보다 정확하게 말하면 ‘개인정보보호배상책임보험2’로 기존에 출시됐던 개인정보보호배상책임보험이 강화된 것은 물론, 이번 정보통신망법 개정안에 따라 ‘의무가입 보험’이 된 것이다.

문제는 개인정보보호배상책임보험2가 이용자수와 매출액이라는 두 가지 조건에 따라 의무적으로 가입해야 하는 의무가입 보험이 됐지만, 실제로 보험에 가입해야 하는 기업들에게 개인정보보호배상책임보험2에 대한 설명이 충분히 이뤄지지 않았다는 점이다.

이에 <보안뉴스>와 <시큐리티월드>는 기업들의 개인정보보호배상책임보험2에 대한 이해를 돕고자 KB손해보험과 삼성화재해상보험, 그리고 DB손해보험 등 개인정보보호배상책임보험2를 출시한 3개 보험사와 함께 ‘사이버보험 의무화 시행, 의무가입 대상 기업을 위한 3대 보험사 공동 간담회’를 진행했다.

개인정보보호배상책임보험2 가입 의무화 본격 시행
<보안뉴스>와 <시큐리티월드>가 주최한 이번 사이버보험 간담회에는 3개 보험사의 개인정보보호배상책임보험2 담당자들이 참여했다. KB손해보험에서는 성준호 과장 김민상 과장이 참석했으며, 삼성화재해상보험에서는 김재현 책임이 참석했다. 그리고 DB손해보험에서는 최병서 과장이 참석했다.

원병철 기자 바쁘신 와중에 모두 참석해 주셔서 감사합니다. 먼저 사이버보험이라 불리는 개인정보보호배상책임보험2에 대한 설명을 부탁드립니다.

성준호 과장 개인정보보호배상책임보험2는 정보통신망법 개정안에 따라 의무가입을 위해 만들어진 보험입니다. 흔히들 사이버보험이라고 부르는데, 실제로 사이버종합보험이 있기 때문에 헛갈릴 수 있습니다. 정보통신망법 개정안에 따르면 정보통신서비스 제공자 등은 이용자에게 손해를 배상해야 하며, 이를 위해 보험 또는 공제에 가입하거나 준비금을 적립해야 합니다. 그렇지 않으면 2,000만 원 이하의 과태료를 부과 받게 됩니다.

김민상 과장 일반 고객들은 잘 모르지만, 보험 상품은 기본적으로 통계를 기반으로 요율이 만들어집니다. 그런데 이번 개인정보보호배상책임보험2처럼 통계가 별로 없는 보험은 보험개발원에서 기본적인 요율, 즉 요금체계가 만들어집니다. 각 보험사는 초기에 보험개발원에서 발표한 요율을 바탕으로 보험 상품을 만들고, 시간이 흐르면서 내부적으로 통계가 쌓이면 이를 바탕으로 다시 요율을 변경합니다.

김재현 책임 정보통신서비스 제공자 등이 정확히 어디까지인지 궁금하신 분들이 많으실 텐데요, 시행령 32조3에 따르면 전년도 말 기준 직전 3개월간 개인정보가 저장되거나 관리되는 이용자수가 일일평균 1,000명 이상일 경우 이에 포함된다고 보면 될 것 같습니다. 특히, 매출액은 특정 사업 분야가 아닌 해당 기업의 총 매출액을 말하고, 이용자수는 회원이나 비회원, 탈퇴회원 등에 상관없이 개인정보를 보유하고 있는 이용자수를 말합니다. 예를 들면, 비영리법인이 일부 영리 목적의 사업을 진행해도 해당 조건에 부합되면 역시나 보험을 들거나 준비금을 마련해야 하며, 병원도 성형외과처럼 광고를 통해 고객을 모집할 경우 이 조건에 부합됩니다.

최병서 과장 우리가 의무가입 기업인지 아닌지 확인한 후, 해당되는 기업은 반드시 보험에 가입해야 합니다. 가입할 때는 4가지 사항을 중점적으로 살펴봐야 하는데요, 이용자수와 매출액 규모에 따라 보험 최저금액이 다르기 때문에 이를 확인해야 하고, 기존에 들었던 개인정보 관련 보험이 중복으로 인정받는 지도 확인해야 합니다. 아울러 보험가입과 준비금 적립, 둘 중 하나를 선택한 후 최종적으로 보험사와 보험조건을 협의해야 합니다.

성준호 과장 특히, 신용정보법에 따라 개인정보보호 관련 보험을 들었을 경우 이번 사이버보험 의무대상에 포함될 수 때문에 가입금액을 확인해 사이버보험보다 가입금액이 적을 경우 모자라는 만큼만 추가로 들면 됩니다. 다만 그 조건은 반드시 보험사를 통해 확인하는 것이 중요합니다.

기존 보험이 개인정보 유출만을 기준으로 삼은 반면, 사이버보험은 유출은 물론 분실, 도난, 위주, 변조, 훼손까지 담보범위가 확대됐습니다. 또한, 사이버보험은 법률상 손해배상금과 손해방지경감비용, 방어비용과 공탁보증보험료까지 보장됩니다. 다만, 임원의 고의 및 범죄, 개인정보 이외의 유출, 신용정보 유출로 인한 경제적 손해는 보상하지 않습니다.

▲간담회에 참여한 DB손해보험 최병서 과장, KB손해보험 김민상 과장과 성준호 과장, 삼성화재해상보험 김재현 책임[사진=보안뉴스]


KB손해보험, 삼성화재해상보험, DB손해보험 3사 컨소시엄 만들어 공동 대응
원병철 기자 오늘 함께한 3개사를 포함해 다양한 보험사에서 개인정보보호배상책임보험2를 출시했습니다. 각 보험사별 차이가 있을까요?

김민상 과장 개인정보보호배상책임보험2는 보험사별로 큰 차이점은 없습니다. 의무적으로 가입해야 하는 대상자가 있는 ‘의무보험=책임보험’이기 때문입니다. 쉽게 말해 자동차보험도 의무보험이기 때문에 보험사별 보험료 차이나 보험료 할인 등을 위한 소폭의 선택적 특약을 제외하면 보장하는 내용이 동일한 것과 같은 논리입니다.

하지만 현재 보장범위를 확장할 수 있는 특약은 각 사별로 약간씩 차이가 있습니다. 특히 오늘 모인 3개사는 컨소시엄을 구성해 공동으로 상품을 만들었기 때문에 같은 내용의 특약을 준비했습니다. 주요 특약으로는 위기관리컨설팅비용, 위기관리실행비용, 개인정보보호조치 과징금보장 그리고 신용정보 유출로 인한 2차 손해를 보장하는 신용정보유출 손해보장특약 등이 있습니다. 그 중에서도 개인정보보호조치 과징금보장 특별약관의 경우 상품 개발단계에서부터 수요기업들의 요구사항을 반영해 개발한 특약입니다.

원병철 기자 영업 분야에서 컨소시엄이라니 조금은 생소합니다.

김재현 책임 궁극적인 목표는 우리 3개사가 갖고 있는 장단점을 합치고, 경쟁을 넘어 계약자에게 가입을 유도하는 것보다 가입자에게 이익을 주자는 취지입니다. 원래 큰 프로젝트의 경우 이러한 컨소시엄이 많이 만들어집니다. 보험사의 치열한 경쟁 때문에 보험의 본질인 고객보호가 잊히는 경우가 있기 때문에 시장논리에 의해 경쟁이 격화되는 것을 막기 위함이죠. 아울러 고객과 보험의 규모가 너무 클 경우 발생할 수 있는 리스크를 1개 보험사가 대응하기 힘들 경우 분담하는 것도 컨소시엄의 역할입니다. 보통 대기업이나 관련 협단체를 고객으로 할 경우 필요합니다.

원병철 기자 이번 보험약관을 살펴보면, 의무가입한도가 이용자수와 매출액에 따라 총 9단계로 나뉘어 있습니다. 자세한 설명을 부탁드립니다.

최병서 과장 정보통신망법 시행령 제18조의2 제2항에 명시된 대로, 보험에 가입하거나 준비금 적립 시 최저 가입금액은 이용자수와 매출액 규모로 차등 설정됩니다. 우선 법에 따라 개인정보보호배상책임보험 의무가입자인 경우 보험과 적립금 중 하나를 선택해야 합니다. 이 법이 고객의 개인정보를 소유, 사용, 관리하다가 유출, 분실, 도난, 위조, 변조당할 경우 배상하기 위해 만들어졌기 때문에, 실제 배상을 해야 할 경우 돈이 없어서 배상하지 못하는 경우를 방지하기 위해서 보험을 들거나, 아니면 목돈을 미리 만들어 놓으라는 거죠. 적립금은 주주총회 등 합법적인 절차를 통해 회사에서 준비하면 됩니다. 따로 보험사나 은행에 예치할 필요가 없다는 겁니다. 가입대상은 직전년도 사업연도의 매출액이 5,000만원 이상이고, 전년도 말 기준 3개월간 개인정보를 저장 및 관리한 이용자수가 일일평균 1,000명 이상일 경우입니다.

성준호 과장 보험 최저 가입금액은 해당기업의 홈페이지나 운영 서비스 페이지 등의 일일이용자수와 기업의 손익계산서 상의 총 매출액을 기준으로 산정됩니다. 일일이용자수는 직전년도의 최종 3개월, 즉 10월부터 12월까지 전체 일일 이용자수를 더한 후 이를 92일로 나눠 평균을 매기면 됩니다.

이용자수와 매출액은 or가 아닌 and의 개념입니다. 즉 두 조건 다 갖춰야 한다는 거죠. 예를 들어 이용자수가 1,000명이 넘어도 매출액이 5,000만원이하라면 보험에 들 필요가 없습니다. 다만 이용자수나 매출액의 기준이 낮은 편이기 때문에 온라인을 이용한 사업을 하는 경우 대부분이 보험에 들어야 할 것으로 보입니다.

최저규모 기업의 보험료 20만원 선...큰 부담은 안돼
원병철 기자 그렇다면 기업이 부담해야 할 보험금은 대략 얼마쯤 될까요? 또, 고객이 보험과 적립금 중 보험을 선택해야 할 이유가 있을까요?

김민상 과장 개인정보보호배상책임보험2는 연간단위로 계약되며, 보험료는 1년치를 납부하는 방식의 소멸성 보험입니다. 다행이 규모가 작은 중소기업을 위해 보험금은 적은 편입니다. 최저 이용자수와 최저 매출액 기업의 경우 1년에 20만원대로 산정될 것으로 보고 있습니다.

다만 이용자수와 매출액이 같다고 해도 업종별로 보험료가 차등됩니다. 아무래도 사이버공격을 많이 받을 수 있는 기업과 아닌 기업이 같은 보험료를 낼 수는 없기 때문입니다. 화재보험을 들 경우 불이 날 위험이 많은 곳과 아닌 곳의 보험료가 다르게 책정되는 것과 같은 이유입니다.

특히 이용자수와 매출액이 최고기준을 훨씬 넘어가는 대기업의 경우 별도로 보험료를 산정해야 합니다.

김재현 책임 보험의 가장 큰 장점은 사고가 났을 때 적은 비용으로 자산을 보호하는 겁니다. 적립금은 사고가 났을 때 결국 내 돈으로 해결하는 건데, 이 적립금은 부채로 잡히기 때문에 회사운영에 문제가 될 수도 있습니다. 게다가 먼저 설명한 대로 보험료가 생각보다 저렴하기 때문에 자금 운용에 훨씬 도움이 됩니다.

특히 개인정보보호배상책임보험2를 들 때, 보험사에서 기본으로 제공하는 체크리스트가 있는데, 이때 자가진단을 할 수 있습니다. 체크리스트를 보고 보험사가 사이버보안이 매우 취약하다는 판단을 내릴 경우 보험계약을 거부할 수도 있기 때문입니다. 체크리스트가 매우 기본적인 리스크 매니지먼트가 되는 겁니다. 또 고객사에 실제 사고가 발생할 경우 손해사정사가 처음부터 끝까지 전문적인 대응을 해주기 때문에 고객사는 편하게 문제를 해결할 수 있습니다.

원병철 기자 이번 개인정보보호배상책임보험2는 오직 개인정보에만 초점이 맞춰져 있습니다. 개인정보 외에 ‘기업의 기밀’ 등 다른 ‘자산’에 대한 ‘특약’이나 ‘보험’은 없는 지 궁금합니다.

최병서 과장 사이버위협이 꾸준하게 발생하면서 이에 대한 대비책으로 보험이 논의가 됐습니다. 그러다 2017년 인터넷나야나 랜섬웨어 사건이 발생하면서 본격화됐고요. 당시 미래부에서 사이버보험 활성화를 위한 연구과제도 진행됐던 걸로 기억합니다. 초기의 사이버보험은 기업의 피해를 줄이는데 초점이 맞춰졌었는데, 이번 정통망법 시행령에 따른 보험은 피해자를 보호하기 위해 만들어진 것이 특징입니다.

원병철 기자 말씀하신 것처럼 사이버보험 논의 초기, 사고 발생 전 보안 컨설팅 등 기업의 보안강화, 사고 발생 후 포렌식 등 사고조사 비용 등 다양한 보상방안도 논의가 됐었는데, 이번 사이버보험에는 이러한 내용은 빠져 있습니다.

성준호 과장 포렌식 등 사고조사 비용은 위기관리실행비용 특약에 포함돼 있습니다. 위기관리실행비용 특약에 가입하면 원인 조사비용뿐만 아니라, 사과문 작성 비용과 신문, TV 사죄광고를 게재하는 비용, 기자회견 개최에 필요한 비용, 위로금 및 위문품 비용 등도 보장받을 수 있습니다. 실제로 사고발생시 여러 가지 의미로 포렌식을 하는데요, 순수한 원인 파악은 물론, 재발방지나 또는 재판에서 회사를 보호하기 위해서도 필요합니다. 이럴 때 민간 포렌식 업체의 비용은 천차만별로 다르고, 적게는 몇 천 만원에서 많게는 몇 억까지 합니다.

김민상 과장 앞서 소개한 사이버종합보험은 포렌식외에도 기업의 사이버보안 컨설팅부터 시스템 구축, 나아가 사고 수습까지 전체적인 항목을 서비스합니다. 이를 위해서 정보보호 컨설팅 회사는 물론 법무법인 등 다양한 기업 및 기관들과 협약을 맺고 있습니다. 최근에는 GDPR 이슈와 관련해 고객문의가 늘고 있습니다.

원병철 기자 피해자들을 위한 배상책임이 주목적인데, 이를 악용하는 사례도 있을 듯합니다.

김재현 책임 실제로 어떤 업체는 보험비용이 저렴한 것을 확인하고, 방화벽을 사지 않고 보험을 드는 게 낫겠다는 말씀을 하셨습니다. 보험 때문에 도덕적 해이, 즉 보안에 돈을 쓰지 않는 일이 발생할 수도 있다는 거겠죠. 하지만 시행초기를 지나 보험사들이 데이터를 수집하게 되면, 점차 보안수준에 따라 보험료가 벌어지게 될 것입니다.

다른 면에서 보면, 개인정보유출과 관련된 법원의 판결을 보면 지금까지 기업의 손을 들어주는 경우가 많았습니다. 아무래도 판사의 판결에 따라 기업이 큰 타격을 입을 수 있기 때문이죠. 그런데 보험이라는 안전장치가 생기면 피해자를 위한 판결도 나올 수 있을 겁니다. 결국 상호보완을 하면서 발전할 거라고 생각합니다.

원병철 기자 현재 ISMS-P 등 국가가 정한 법에 따라 사이버 보안 혹은 개인정보 보호를 강화한 고객에게는 할인 등 혜택은 없는 지 궁금합니다.

최병서 과장 현재로서는 할인에 대한 논의는 없습니다. 다만 보험사 내부적으로 할증 요소가 있을 수 있습니다. 즉 ISMS-P를 취득했다고 해서 보험료를 할인해주기 보다는, ISMS-P를 취득할 정도로 보안이 강화됐다고 하면 그에 따라 보험료를 할인해 드릴 수 있을 겁니다. 보안뉴스

댓글을 달아 주세요