기업이 해킹 등 사이버 공격에 대비한 보험 상품에 가입했더라도 북한의 공격 시에는 보상을 받지 못할 수 있는 것으로 나타났다. 전쟁 면책 조항이 적용될 수 있기 때문으로, 다만 북한 소행으로 ‘추정’되는 경우라면 보험금이 지급될 수 있다.
11일 손해보험업계에 따르면 현재 국내 손해보험사가 판매하는 사이버 보험 또는 사이버 종합보험은 총 10종이다.
사이버 종합보험은 2019년 의무화된 개인정보 유출 배상책임보험을 기본으로, 가입 기업의 각종 피해를 보상하는 다른 담보로 구성된 보험을 의미한다. 일부 상품은 의무화된 배상책임보험만 제공하기도 한다. 그러나 사이버 공격으로 불특정 다수 기업에 큰 피해가 발생하고, 그 공격의 주체가 북한으로 확인된다면 가입 기업이 보험금을 받지 못하게 될 수도 있다.
개인정보 유출 배상책임보험은 일반적인 배상책임보험과 마찬가지로 전쟁에 따른 피해는 보험사의 면책 대상이다. 전쟁 면책의 요건에 충족하려면 행위 주체가 국가(정부)이고 공격이 전쟁행위여야 한다. 북한의 대규모 사이버 공격을 전쟁행위로 인식한다면 면책 약관이 적용된다는 결론으로 이어진다. 손해보험업계 관계자는 “실제 사례가 없어 단정할 수는 없으나 북한의 대규모 사이버 공격에 따라 정보 유출 피해가 발생했다면 사이버 종합보험의 전쟁 면책 조항이 적용될 가능성이 있다”고 말했다.
최근 해외에서는 북한 등 국가의 사이버 공격에 대해 전쟁 면책 적용 여부를 두고 법적 분쟁이 진행 중이다. 2017년 전 세계 64개국에서 100억달러에 이르는 손실을 일으킨 ‘낫페트야(또는 낫페티야, NotPetya) 공격’의 주체가 러시아 정부라고 미국, 영국, 캐나다, 호주 등이 발표하자 보험사는 약관의 전쟁 면책을 근거로 보험금을 지급하지 않았고, 미국의 유명 제약사 머크 등 가입 기업이 보험사를 상대로 소송을 냈다. 각국 정부에 의해 공격 주체가 러시아 정부로 공표됐기 때문에 사이버 공격이 ‘적대행위’ 또는 ‘전쟁행위’인지가 면책 여부를 가릴 쟁점이다.
북한 당국의 해커가 탈취한 전산망·정보를 되찾고자 기업이 ‘몸값’ 등을 지불한 경우에도 보험금을 받지 못할 수 있다. 이 경우 전쟁행위라기보다는 특정 기업을 겨냥해 자금을 획득하려는 범죄지만 북한이 제재 대상국이기 때문에 보험사가 보상하지 않는다는 것이다.
사이버 종합보험을 취급하는 한 손해보험사의 관계자는 “경제 제재 대상 국가에 이익이 된다면 보험사가 보험금을 지급할 수 없다”고 설명했다. 다만 정부에 의해 북한이 사이버 공격의 배후로 확인·공표되는 사례가 드물기 때문에, 북한이 연루된 것으로 의심된다고 해서 보험금 지급이 거절되는 것은 아니다. 다른 손해보험사 관계자는 “단지 북한의 소행으로 추정되는 경우라면 보험금이 지급될 것으로 본다”고 예상했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >