[테헤란로] 사이버보험은 선택적 비용이 아니다

홍예지 금융부 차장

사이버 공격은 더 이상 개별 기업의 보안사고가 아니다. 대형 플랫폼과 통신사, 유통기업에서 발생한 개인정보 유출은 금융사기와 명의 도용, 결제 피해로 이어지며 사회 전반에 연쇄 충격을 남긴다. 그러나 이런 충격을 흡수할 장치는 한국에 거의 없다. 사이버 리스크는 커지고 있지만 이를 분산·완충할 사이버보험 시장은 사실상 공백 상태다.

사이버보험은 해킹사고 시 배상만을 위한 특수보험이 아니다. 해킹·랜섬웨어·개인정보 유출로 인한 영업중단 손실, 데이터 복구비용, 피해자 배상책임, 사고 대응과 평판 관리비용까지 포괄하는 위기관리형 금융장치다. 사고 이후 기업이 연쇄 충격으로 무너지는 것을 막는 안전망에 가깝다.

글로벌 시장은 이미 이를 필수 인프라로 받아들이고 있다. 보험연구원에 따르면 글로벌 사이버보험 시장은 지난 2019년 59억달러에서 2023년 141억달러로 급성장했다. 반면 한국 시장은 300만달러 수준에 불과하다. 이는 단순한 시장 미성숙이 아니라 리스크 관리체계의 구조적 결손을 보여준다.

기업의 인식도 한계다. 사이버 사고는 물리적 피해가 없고, 손실이 사후에 드러나 과소평가되기 쉽다. 사고 공개에 따른 평판 리스크를 우려해 보험을 통한 외부 이전 대신 내부적으로 리스크를 떠안는 선택이 반복돼왔다. 실제로 한 조사에서 '개인정보 처리 시스템을 제대로 구축·운영하고 있다'고 답한 민간기업 비율은 5%에도 못 미친다. 제도 역시 보험 수요를 키우지 못했다. 개인정보보호법상 과징금은 강화됐지만 민사상 배상책임은 여전히 제한적이다. 대규모 유출사고에서도 1인당 배상액은 수십만원 수준에 그친다. 기업 입장에서는 사이버 사고가 재무적 위기로 직결되지 않아 보험 필요성이 낮게 인식된다.

최근의 대형 사고들은 분명한 시그널을 보내고 있다. 빅테크와 대형 플랫폼은 이미 사회 인프라다. 이들의 보안 실패는 금융시장과 실물경제, 소비자 신뢰를 동시에 흔든다. 사이버 리스크는 관리하지 않으면 시스템 전체를 위협하는 위험으로 진화했다.

결론은 명확하다. 사이버보험은 선택적 비용이 아니라 시스템 리스크를 분산하는 금융 인프라다. 기업은 사이버 보안을 비용이 아닌, 기업가치 보호 수단으로 인식해야 한다. 보험사는 사전 보안 점검과 사고 대응을 아우르는 종합 리스크 관리자로 진화해야 하고 정부는 징벌적 배상 강화와 공시의무 확대, 공사협력형 사이버보험 프로그램 도입으로 시장이 작동할 토대를 마련해야 한다. 사이버 공격은 이미 일상이 됐다.

imne@fnnews.com