'北 해킹' 당해도 사이버보험 보상 받나

기업이 각종 사이버 공격 피해에 대비한 보험에 가입했더라도 북한의 해킹으로 발생한 피해에 대해서는 보상을 받지 못할 수도 있는 것으로 나타났다.

11일 손해보험업계에 따르면 현재 국내 손해보험사가 판매하는 사이버 보험 또는 사이버 종합보험은 총 10종이다.

사이버 종합보험은 2019년 의무화된 개인정보 유출 배상책임보험을 기본으로, 가입 기업의 각종 피해를 보상하는 다른 담보로 구성된 보험을 가리킨다. 일부 상품은 의무화된 배상책임보험만 제공하기도 한다.

그러나 사이버 공격으로 불특정 다수 기업에 큰 피해가 발생하고, 그 공격의 주체가 북한으로 확인된다면 가입 기업이 보험금을 받지 못하게 될 수도 있다.

개인정보 유출 배상책임보험은 일반적인 배상책임보험과 마찬가지로 전쟁에 따른 피해는 보험사의 면책 대상이다. 전쟁 면책의 요건에 충족하려면 행위 주체가 국가(정부)이고 공격이 전쟁행위여야 한다.

북한의 대규모 사이버 공격을 전쟁행위로 인식한다면 면책 약관이 적용된다는 결론으로 이어진다. 실제로 최근 해외에서는 북한 등 국가의 사이버 공격에 대해 전쟁 면책 적용 여부를 두고 법적 분쟁이 진행 중이다.

미국, 영국, 캐나다, 호주 등 각국 정부가 2017년 전 세계 64개국에서 100억달러에 이르는 손실을 일으킨 '낫페트야 공격'의 주체가 러시아 정부라고 발표하자 보험사는 약관의 전쟁 면책을 근거로 보험금을 지급하지 않았다. 이에 미국의 유명 제약사 머크 등 가입 기업이 보험사를 상대로 소송을 냈다.

북한 당국의 해커가 탈취한 전산망·정보를 되찾기 위해 기업이 몸값 등을 지불한 경우에도 보험금을 받지 못할 수 있다. 이 경우 전쟁행위라기보다는 특정 기업을 겨냥해 자금을 획득하려는 범죄이지만 북한이 제재 대상국인 만큼 제재 대상 국가에 이익이 될 수 있기 때문이다.다만 정부에 의해 북한이 사이버 공격의 배후로 확인·공표되는 사례가 드물기 때문에 북한이 연루된 것으로 의심된다고 해서 보험금 지급이 거절되는 것은 아니다. 북한의 소행으로 추정되는 경우라면 보험금이 지급될 가능성도 있다. 전문가들은 사이버 보험 보장범위에 내재된 이러한 모호성을 제거해 분쟁을 방지하려면 면책 범위를 명확히 할 필요가 있다고 지적한다. 특히 우리나라의 경우 북한 해커의 소행으로 공표되거나 추정되는 사이버 공격이 빈번하다.

송윤아 보험연구원의 연구위원은 최근 '국가 배후 사이버공격을 둘러싼 전쟁 면책 적용 논쟁' 보고서에서 "우리나라는 북한의 사이버 공격과 그로 인한 피해가 작지 않다는 점에서 국가 연루 사이버 공격을 둘러싼 전쟁 면책 논의를 주시할 필요가 있다"고 진단했다.김수현기자 ksh@