‘정보유출 배상책임보험’ 시장확대 vs 구색 맞추기

개인정보보호 및 유출방지를 위해 징벌적·법적 손해배상 제도가 도입됨에 따라 정보유출과 관련된 배상책임보험 시장이 확대될 전망이다.

지난해 초 카드 3사의 대규모 고객정보 유출로 TM영업 중단 등 보험업계에도 여파가 컸던 만큼 배상책임보험 가입 의무화를 통해 일반보험 활성화라는 전화위복 계기를 마련할 것이란 전망이다. 반면 일각에서는 가입기준 금액이 낮아 시장확대에 큰 영향을 미치지 못할 것이란 지적도 나와 향후 귀추가 주목된다.

◇ 개인정보유출 배상책임보험…1금융 20억원, 2금융은 10억원대 가입
오는 9월 12일부터 개정된 신용정보법이 시행됨에 따라 은행 및 지주회사, 정보집중기관, 신용조회회사 등 금융회사들은 20억원의 배상책임보험에 가입해야만 한다. 지방은행과 외은지점, 저축은행, 보험사, 금융투자업자, 신협 등 2금융권의 경우에도 10억원 한도의 배상책임보험 가입이 의무화됐다. 이외 기타 기관의 경우에도 정보유출시 손해배상 보장을 위해 5억원 한도의 보험에 가입해야만 한다.

금융위원회는 최근 이 같은 내용이 포함된 신용정보법 하위법령 개정안을 입법예고 했다.

개정 신용정보법이 개인정보 및 정보주체에 대한 보호와 금융회사의 책임성 강화를 골자로 하고 있는 만큼 하위법령들은 이러한 금융사의 정보보호 책임성 강화를 위한 구체적 안이 마련됐다.

먼저 불법적으로 신용정보 유출이 발생한 경우 금융회사는 위반행위 관련 사업부문의 직전 3개년 연평균 매출액의 3%를 과징금으로 내야한다. 아울러 손해배상 강화에 따른 보장을 위해 배상책임보험 가입기준이 마련됐다. △은행, 금융지주사, 신용정보집중기관, 신용조회회사 등은 20억원 △지방은행, 외은지점, 저축은행, 보험사, 금투업자, 신협 등은 10억원 △기타 기관은 5억원이다.

거래가 종료된 고객의 필수정보 이외 정보는 즉시 삭제하고 거래 종료 후 5년이 경과한 정보는 원칙적으로 모두 파기해야 한다. 위반시 행위별로 과태료 부과기준이 만들어졌으며, 현행 최대 600만원 수준의 과태료가 4000만원까지 상향 신설됐다. 또한 신용정보 통합집중기관 설립에 따라 각 금융사별 보호방식의 자율성을 확대하고 금융·IT융합 및 빅데이터 활성화 기반을 조성한다는 방침이다.
◇ ‘가입 의무화’ 일반보험시장 활성화 기대

지난해 정부가 다양한 정보유출 재발방지대책을 내놓으면서 보험업계는 배상책임보험 가입확대 특수를 기대했으나 실상 관련 보험상품의 가입건수는 크게 늘지 않았다. 그러나 보험가입 의무화로 오는 9월부터 시장 활성화 물꼬가 트일 것으로 기대하고 있다.

전문가들은 ‘개인정보유출 배상책임보험’의 국내 잠재시장 규모를 4400억원에서 최대 3조6000억원 수준으로 추산하고 있다. 물론 민간사업자까지 모두 포함한 규모지만 배상책임 의무가 강화됨에 따라 향후 민간사업자까지 가입이 확대될 것으로 전망된다.

또한 개인정보처리자, 신용정보처리자, 정보통신서비스 제공자 등의 정보유출 관련 손해배상을 위한 보험가입이나 자산예탁을 의무화하는 법률개정안도 발의된 상태로, 법안이 통과될 경우 정보유출 배상책임보험에 가입해야 하는 사업자 수는 최대 820만(개인정보보호법 380만, 신용정보법 7만, 정보통신망법 433만)으로 늘어날 것으로 추산된다.

단 은행, 증권, 카드, 보험 등 금융기관을 비롯한 전자금융업자의 경우 ‘전자금융거래 배상책임보험’ 가입이 이미 의무화 되어 있는 만큼 신용정보 유출을 함께 보장할 경우 개인정보유출 배상책임보험의 가입기준 금액을 차감 받을 수 있다. 중복가입에 따른 부담을 완화하기 위함이다.

금융기관 등이 의무적으로 가입해야하는 ‘전자금융거래 배상책임보험’은 전자거래에 따른 피해만 담보하기 때문에 지난 카드사태와 같은 대규모 정보유출로 인한 손해배상청구 등의 법률비용은 보상받을 수 없다. 업계 관계자는 “금융기관이 개인정보 유출시 손해배상금이 최대 300만원까지 지급됨에 따라 지난해부터 보험료율이 약 10% 정도 인상돼 반영됐다”며, “보상한도 증액으로 개인정보 관련 배상책임보험 시장 규모가 어느 정도 확대될 것은 분명하다”고 말했다.

◇ 가입의무화는 구색 맞추기?

그러나 일각에서는 가입기준 금액이 턱없어 모자라 일종의 구색 맞추기라는 지적도 나온다. 개인정보가 유출될 경우 대부분 대량으로 유출되기 때문에 충분한 보상이 어려울 것이란 얘기다. 예를 들어 100만건이 유출됐다고 가정시 1인당 만원만 지급해도 100억원이 필요하다. 지난해 초 KB·롯데·NH카드에서 유출된 고객정보는 총 1억400만건에 달했다. 보상에 있어 현실성이 떨어진다는 것이다.

실제 모 은행의 경우 현재 100억원대의 개인정보유출 배상책임보험에 가입되어 있는 상태다. 필요금액을 최소 100억원으로 잡은 셈이다. 이 보험의 보험료는 2억원 수준으로 보험업계는 낮은 수준이라고 지적한다.

때문에 기준금액 20억원의 경우 시장 활성화에 별다른 영향을 미치지 못할 것이란 분석이다. 더욱이 대규모 유출사고 발생시 오히려 보험사의 손해율만 높일 수 있다는 우려도 나온다.

업계 한 관계자는 “은행 같이 대규모 개인정보를 보유한 곳에서 가입기준을 20억원으로 한다는 것은 사실상 보상을 거의 안 하겠다는 것과 다름없다”며, “상품의 구조자체를 모르고 금액을 정한 것이 아닌가 의심된다”고 지적했다. 이어 “100억원대 개인정보유출 배상책임보험의 보험료도 2억원 정도로 낮은 수준인데, 기준금액이 이보다 낮으면 보험시장이나 가입당사자도 큰 도움이 안될 것”이라고 덧붙였다.

또 다른 관계자 역시 “아직까지 시장 확대규모는 예측하기 어렵다”며, “오히려 손해배상금이 명시된 만큼 보험사 손해율이 상당부분 올라갈 수 있다”고 지적했다.

반면, 업계 한 관계자는 “법안 자체가 책임보험가입을 의무화하는 것보다는 징벌적 손해배상에 초점이 맞춰져 있기 때문에 보험을 통해서는 최소한으로 보장하고 나머지 초과되는 부분에 대해서 징벌적 손해배상을 통해 물리려는 측면으로 봐야한다”고 말했다.

지금까지 수많은 정보유출 사고가 불거질 때마다 가입 필요성이 강조돼 왔으나 실제 가입이 미미했던 만큼 가입의무화를 계기로 개인정보유출 배상책임보험 시장이 새로운 국면을 맞을 수 있을지 귀추가 주목된다.



김미리내 기자 pannil@fntimes.com