수천만 정보 보유 기업에 ‘최소금액’ 적용
보험업계 “최소보험금액 대폭 상향해야”
의무가입 8만곳 중 가입률 2~8% 불과

<이미지를 클릭하시면 크게 보실 수 있습니다>

약 3400만건의 개인정보를 유출한 쿠팡이 가입한 개인정보유출 배상보험의 보장 한도가 법정 최소금액인 10억원에 머물러 사고 규모와 괴리가 크다는 지적이 나온다. 디지털 환경에서 대형 사고가 반복되지만 피해자 구제를 위한 보험·배상 체계는 여전히 ‘소규모 사고’ 기준에 머물러 있다는 비판이다.

8일 손해보험업계에 따르면 쿠팡은 메리츠화재의 개인정보유출 배상책임보험에 가입돼 있는데, 보장 한도는 10억원이다. 앞서 2300만명의 유심(USIM·가입자 식별 모듈) 정보가 유출된 SK텔레콤의 경우 현대해상에서 가입한 의무보험 보장 한도가 10억원에 불과해 별도로 1000억원 한도의 사이버보험을 추가로 들었다. 쿠팡은 이번 사고에 대한 보험사고 신고도 하지 않은 것으로 전해졌다.

최소 가입금액 기준 역시 현실을 반영하지 못한다는 지적이 나온다. 개인정보보호법 시행령은 정보주체 100만명 이상 기업의 최소 가입금액을 10억원으로 규정하지만, 플랫폼·통신사처럼 수천만명 정보를 보유한 기업의 사고 위험을 고려하면 턱없이 낮다는 것이다. 정광민 포항공과대학교 교수는 “과거 카드사·인터파크 사건에서도 인정된 배상액이 1인당 10만원 수준에 불과했다”며 “대규모 사고가 나도 배상액이 작게 산정되는 구조가 유지돼 기업의 위험 부담이 충분히 반영되지 않는다”고 지적했다.

이에 보험업계는 대규모 정보 보유 기업의 최소 보험금액을 대폭 상향해야 한다는 입장을 개인정보보호위원회(개보위)에 건의할 예정이다. 현재 논의되는 방안에는 정보주체 1000만명 이상·매출 10조원 초과 기업은 최소 1000억원, 매출 5조원 초과는 500억원, 1조원 초과는 100억원으로 높이는 방식이 포함돼 있다.

감독 체계의 실효성 부족도 상향 논의가 제기되는 배경으로 꼽힌다. 개인정보보호법은 미가입 시 과태료를 규정하고 있지만, 실제 제재 사례는 없다. 보험 가입률도 낮아, 지난 6월 기준 개인정보유출 배상책임보험 15개사의 가입 건수는 약 7000건에 그친다. 개보위가 추정한 의무가입 대상 8만3000~38만곳을 감안하면 지난 5월 기준 가입률은 2~8% 수준이다.

김예슬 기자



▶ 밀리터리 인사이드

- 저작권자 ⓒ 서울신문사 -