개인정보유출배상보험 가입률 10%도 안돼…의무대상 오히려 축소

서울 시내 한 SK텔레콤 대리점에서 직원들이 유심 재설정을 시연하고 있다. 유심 재설정은 유심에 존재하는 '사용자 식별·인증 정보' 및 '사용자 직접 저장 정보' 중 사용자 식별·인증 정보 일부를 새 정보로 변경하는 방식이다. 연합뉴스

SK텔레콤 해킹 사태로 개인정보 유출에 경각심이 높아진 가운데 개인정보가 유출된 정보주체의 피해를 구제하는 의무 보험인 '개인정보유출 배상보험'의 가입률이 10%도 안 되는 것으로 나타났다.

20일 손해보험업계에 따르면 작년 말 기준 개인정보유출 배상책임보험을 취급하는 15개사(메리츠·한화·롯데·MG·흥국·삼성·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나)의 가입 현황을 집계한 결과 7769건으로 집계됐다.

개인정보보호위원회는 개인정보 유출에 따른 손해배상책임 이행시 자금 조달이 어려운 사업체를 위해 2020년부터 개인정보 손해배상 책임보험 가입을 의무화했다. 가입 대상은 전년도 매출액 등이 10억원 이상에 정보 주체 수가 1만명 이상인 곳이다.

개보위는 대상 기업을 약 8만3000개∼38만개로 추정하는데 이를 고려했을 때 작년 말 기준 가입률은 2.0∼9.4% 수준에 그친다.

정부가 의무 대상 기업 범위를 구체적으로 파악하는 것 자체에 한계가 있다 보니 점검·관리가 실효성 있게 이뤄지지 못하는 것으로 분석된다.

해킹사고가 일어난 SKT도 10억원 한도의 책임보험을 들어 보상 체계가 취약한 것 아니냐는 논란이 일어난 바 있다.

이 와중에 개인정보위는 지난 3월 의무 대상 기업의 기준을 '매출액 1500억원 이상이면서 관리하는 정보주체 수 100만명 이상'으로 조정하기로 해 사이버 보안 이슈가 더욱 중요한 시점에 개인정보 보호가 약화하는 것이 아니냐는 지적이 나온다.

당시 개인정보위는 기존 의무 대상 범위가 너무 넓어 실질적인 점검·관리가 어렵다는 이유로 의무 대상을 조정한다고 밝혔다. 이 기준에 따르면 의무 가입 대상은 불과 200곳 정도로 줄어들게 된다.

개인정보보호법 상 의무보험 가입 제도의 목적은 개인정보 유출 사고 발생시 배상능력이 부족한 기업으로부터 피해자를 보호하는 것인데 배상 능력이 충분한 기업에만 보험 가입 의무를 부여하고, 매출 1500억원 미만의 기업에 보험 가입 의무를 제외하는 것은 개인정보보호법 제정 목적과도 어긋난다는 지적이다.

정재홍 기자 hongj@joongang.co.kr