대규모 해킹 사고 난 쿠팡, 보험은 10억 ‘최소 한도’ 가입

3일 서울 송파구에 위치한 쿠팡 본사 모습. /뉴스1

3370만명의 고객 정보 유출 사고를 낸 쿠팡이 법정 의무 보험인 ‘개인정보 유출 배상보험’을 최소 금액만 가입한 것으로 파악됐다. 업체들이 경영상 비용 부담을 줄이려 정보 유출 피해 수습을 도외시하고 있다는 비판이 나온다.

8일 손해보험업계에 따르면, 쿠팡은 메리츠화재의 개인정보 유출 배상책임보험에 보장 한도 10억원으로 가입한 상태다. 이번 해킹 사고로 쿠팡이 고객들에게 피해 보상을 할 때, 조달할 수 있는 보험금이 최대 10억원에 불과하다는 뜻이다. 쿠팡은 현재 메리츠화재에 보험 사고 신고를 하지 않은 것으로 알려졌다.

현행 개인정보보호법은 전년도 매출이 10억원 이상이고, 관리하는 정보 주체가 1만명 이상인 기업에 대해 개인정보 유출 배상보험 가입을 의무화하고 있다. 다만 기업 규모에 따른 최소 가입 금액이 5000만원~10억원 수준으로 매우 낮다.

2300만명의 개인정보 유출 사고가 난 SK텔레콤 역시 사고 당시 현대해상의 개인정보 유출 배상책임보험에 가입했지만, 보장 한도는 마찬가지로 최소 금액인 10억원에 그쳤던 것으로 파악됐다. 또 고객 배상이 아닌 선제 조치 차원에서 이뤄진 유심 교체 등에 활용할 수 있는 ‘위기관리실행비용특약’도 가입하지 않았던 것으로 알려졌다.

다만 SKT는 지난 10월 말에 개인정보 유출에 따른 피해 발생 시 보험금을 최대 1000억원까지 지급받을 수 있는 ‘사이버보험’을 추가로 가입했다고 설명했다.

이처럼 최소 가입 금액이 지나치게 낮은 탓에 개인정보 유출 배상보험이 대규모 해킹 사고 보상에 실질적으로 도움을 주지 못한다는 지적이 나온다. 손해보험업계를 중심으로는 개인정보 유출 배상보험 최소 가입 금액을 최대 1000억원 수준까지 올려야 한다는 주장도 제기된다.

다만 개인정보 유출 배상보험이 기업들의 배상 부담을 덜어주는 데에는 한계가 있다는 반론도 있다. 보험은 실제로 피해 규모가 확정되면 그에 따라 보험금이 지급되는 방식인데, 개인정보 유출에 따른 피해 규모를 정확히 측정하는 건 사실상 불가능하다는 것이다. 한 업계 관계자는 “피해 규모를 측정하기 전에 기업이 선제적으로 마련한 보상금에 대해서는 보험금이 지급되지 않을 가능성이 있다”고 했다.

올해 6월 말 기준 개인정보유출 배상책임보험을 취급하는 메리츠·한화·롯데·MG·흥국·삼성·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나 등 15곳의 보험 가입 건수는 약 7000건이다. 이는 개인정보보호위원회가 추산한 가입 대상 기업 규모인 약 8만3000∼38만곳의 2∼8% 수준이다. 개보위는 지난달 ‘개인정보 손해배상책임 보장제도 합리화 방안’을 발표했다. 개인정보 올해 초 보험 의무 가입 대상을 200여개 수준으로 대폭 축소하고 보장 범위는 확대하는 개편안을 내놨다.