SK텔레콤(017670) 유심 해킹과 KT(030200) 무단 소액결제 사태에 이어 불거진 롯데카드 해킹 사건으로 개인정보 유출 우려가 커지는 상황에서 정부가 오히려 ‘개인정보유출 배상보험’의 의무 가입 대상 축소를 추진하고 있어 논란이 되고 있다. 상대적으로 보안 대응력이 취약한 중소·영세 업체들이 의무보험 대상에서 제외될 경우 피해 보상의 사각지대에 놓일 수 있다는 우려가 나온다.
국무총리실 산하 기관인 개인정보보호위원회는 올 3월 의무보험으로 운영되는 개인정보 유출 배상책임보험의 가입 기준을 현행 ‘매출액 10억 원 이상, 정보주체 수 1만 명 이상’에서 ‘매출 1500억 원 이상, 정보주체 수 100만 명 이상’으로 조정하는 내용의 개인정보 손해배상책임 보장제도 합리화 방안을 발표했다. 개인정보 손해배상책임 보험은 개인정보 유출 피해가 발생했을 경우 기업이 소비자에게 피해를 보상할 수 있도록 보험 가입을 의무화한 제도다.
개보위 안대로라면 현행 약 8만 3000~38만 곳으로 추정되던 보험 가입 의무 대상 기업 수는 약 200곳으로 대폭 줄어들게 된다. 개보위는 조정 배경으로 기존 의무대상의 범위가 너무 넓다 보니 대상 파악이 어려워 실질적인 점검·관리가 이뤄지지 않고 있다는 이유를 들었다.
문제는 보험 가입 의무 대상을 대기업으로 한정할 경우 보안 역량이 취약한 대다수 중소기업들은 개인정보 유출 피해 위험에 무방비로 노출될 수 있다는 점이다. 한국인터넷진흥원에 따르면 지난해 발생한 랜섬웨어 공격 피해의 94%가 중소·중견 기업에 집중됐다. 개인정보 유출 사고 시 배상 능력이 부족한 기업으로부터 피해자를 보호하겠다는 개인정보보호법의 취지와도 어긋난다는 지적이다. 김규동 보험연구원 연구위원은 “보안 역량이 취약한 중소기업의 보험 가입 의무를 면제하면 개인정보보호에 대한 경각심이 소홀해질뿐더러 정보 유출 사고 이후 피해 보상에도 빈틈이 생길 수밖에 없다”며 “의무대상을 축소할 게 아니라 보안 점검 우수 기업에 보험료를 할인해주는 등 대상 기업을 효과적으로 관리하는 방안을 마련해야 한다”고 말했다.
이 같은 지적에 대해 개보위 관계자는 “업계와 여러 기관의 의견을 수렴해 최종안을 정하겠다”며 재검토 가능성도 내비쳤다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
kim0123@sedaily.com
