"사이버보험 언더라이팅 역량 보험사 스스로 쌓아라" 쓴소리(종합)

문채석 2026. 3. 19. 18:11
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
김홍선 김·장 고문 겸 전 SC은행 부행장 지적
청중도 업계에 쓴소리…"언더라이팅 질의서에
보안훈련 결과 등 주요정보 포함하라" 꼬집어

"사이버보험 언더라이팅(보험인수 심사) 문제는 보험사 스스로 해결해야 한다. 보안업체 등에 아웃소싱(외주·외부조달)하면 안 된다. 리스크를 측정해 적정가격을 매기는 게 언더라이팅 아닌가."

19일 서울 여의도 한국경제인협회 콘퍼런스센터에서 보험연구원과 유동수 더불어민주당 의원, 포항공과대가 공동 개최한 '사이버 리스크의 일상화, 보험산업의 과제와 대응전략' 국제세미나 패널토론. 왼쪽부터 김홍선 법무법인 김·장 고문, 박태환 안랩 사이버시큐리티센터(ACSC) 센터장, 손재희 보험연구원 소비자디지털연구실장, 정광민 포항공과대 산업경영공학과 부교수, Sie Lau 삼성화재 사이버 수석(Head of Cyber), 최광희 법무법인 세종 고문, 최용민 프로시스 언더라이팅 솔루션즈 부대표. 문채석 기자

19일 서울 여의도 한국경제인협회 콘퍼런스센터에서 보험연구원과 유동수 더불어민주당 의원, 포항공과대가 공동 개최한 '사이버 리스크의 일상화, 보험산업의 과제와 대응전략' 국제세미나 패널토론. 왼쪽부터 김홍선 법무법인 김·장 고문, 박태환 안랩 사이버시큐리티센터(ACSC) 센터장, 손재희 보험연구원 소비자디지털연구실장, 정광민 포항공과대 산업경영공학과 부교수, Sie Lau 삼성화재 사이버 수석(Head of Cyber), 최광희 법무법인 세종 고문, 최용민 프로시스 언더라이팅 솔루션즈 부대표. 문채석 기자

보험업계 세미나에서 사이버사고 데이터 축적과 심사 역량을 보험회사 스스로 키우라는 강도 높은 지적이 나왔다. 사이버 리스크는 사고 확률 및 손해 추정이 어렵고 동시다발적으로 연계돼 발생하는 만큼 보험사들이 언더라이팅 과정에서 매우 보수적으로 접근하는데, 이 같은 한계를 보험사 스스로 극복하라는 주문이다.

김홍선 법무법인 김·장 고문(전 한국스탠다드차타드은행 부행장·전 안랩 대표)은 19일 서울 여의도 한국경제인협회 콘퍼런스센터에서 보험연구원과 유동수 더불어민주당 의원, 포항공과대가 공동 주최한 사이버보험 국제 세미나에서 "사이버사고를 단순한 보안 이슈가 아닌 '사업'을 계속 이어갈 수 있느냐의 문제로 바라봐야 한다"며 이같이 말했다.

김 고문은 "금융사는 시장·크레딧(신용)·운영 리스크 세 가지를 보는데 사이버 리스크는 대표적인 운영 리스크고 국제결제은행(BIS) 기준 자기자본비율에 위험가중치(RW)란 형태로 반영된다"며 "한국 금융사들은 스스로 축적한 데이터로 운영 리스크를 판단하지 않고 금융당국이 제시한 규제 가이드라인에 따라 평가한다"고 꼬집었다.

그는 "해외 금융사는 한국과 달리 금융감독기관에서 사이버 리스크가 높다고 하면 기업 경영진과 이사회 스스로 혹은 제3자를 통해 사이버 리스크를 극복해간다"며 "RW와 BIS 비율이 높아지면 대출도 못 받고 사업을 못 하기 때문에 경영진이나 이사회 멤버들이 가만있을 수 없는 구조"라고 소개했다.

이어 "리스크를 결정하는 기준은 당국의 규제가 아니라 비즈니스 임팩트(사업 영향)가 돼야 하고, 그렇지 않으면 아무리 강력하게 규제해도 경영진은 사이버 리스크를 제대로 다루지 않을 것"이라며 "(규제 아닌 경영으로 해결하려면) 보험사도 언더라이팅 과정에서 보안업체에 아웃소싱하는 게 아니라 스스로 리스크를 측정하고 적정가격을 매겨야 한다"고 덧붙였다.

손재희 보험연구원 소비자디지털연구실장은 보험사끼리 사이버 리스크 관련 정보를 공유하는 것보단 당국에서 익명을 전제로 데이터 공유를 허용하는 등 정보 공유에 대한 인센티브를 제공해야 한다고 주장했다.

손 실장은 "데이터를 모은다고 해도 과거 데이터 위주여서 사이버보험 언더라이팅 과정에 얼마나 도움이 될지 의문"이라며 "개인정보 이슈 등을 고려하면 보험사끼리 데이터를 공유하는 것보다는 (당국이) 익명 데이터 공유를 허용하는 식의 정보 제공 인센티브를 만들고, 신뢰할 수 있는 중립적 저장소 설치를 해야 한다"고 말했다.

보험업권이 전격적으로 AI로 사이버보험 언더라이팅을 하는 건 시기상조라는 의견이 나왔다.

김 고문은 "아직 보험업계가 AI로 사이버보험 언더라이팅을 하는 건 시기상조"라며 "특히 피지컬 AI가 보편화하면 AI로 사이버보험 리스크를 다루는 방식은 임팩트(효과)가 상당히 클 것"이라고 했다.

이어 "거대언어모델(LLM)은 신경망이 패러미터(매개변수)로 분산돼서 필터로 저장하는 방식을 쓰지 단순히 개인정보를 저장만 하는 게 아니다"며 "AI 추론을 통해 개인정보가 어디까지인지를 판단해야 하는데 유출된 정보 중 어디까지 개인정보로 봐야 하는지부터 혼란스러울 거고, 관련 보안은 전혀 갖춰져 있지 않은 상황"이라고 덧붙였다.

한 청중은 질의응답 시간에 정보보호 공시 강화만으로는 사이버 리스크를 줄이기 어렵다고 지적하기도 했다.

신용평가사 출신이라고 자신을 소개한 A 중견기업 정보보호그룹장은 "기업 보안을 강화하려면 최고경영자(CEO)의 관심을 유도해야 하는데, (패널들이 제시한) 정보보호 공시 확대만으로는 부족하다"며 "신용평가사 애널리스트가 기업 신용등급을 매길 때 정보보안 관련 항목을 평가 체계에 포함하면 회사 대출 한도 등에 직접적인 영향을 미치기 때문에 CEO가 보안에 관심을 갖도록 유도할 수 있다"고 제언했다.

그는 "사이버보험 언더라이팅 질의서에 보안 훈련 결과, 랜섬웨어 공격을 당했을 때 보장협상 과정 같은 주요 정보를 각 보험사가 민간 정보기업과 업무협약을 맺어 투명하게 공개하는 것도 좋은 방법"이라며 "패널들도 이런 고민을 하는지 궁금하다"고 지적했다.

문채석 기자 chaeso@asiae.co.kr

Copyright © 아시아경제. 무단전재 및 재배포 금지.

아시아경제에서 직접 확인하세요. 해당 언론사로 이동합니다.