[인더스트리뉴스 홍윤기 기자] SKT 해킹 사태로 개인정보 유출 우려가 높아졌지만 개인정보 유출을 구제하는 의무 보험인 '개인정보유출 배상보험'의 기업 가입률이 10%도 안 되는 것으로 나타났다.

개인정보 보호 필요성이 커지고 있음에도 개인정보보호위원회(개인정보위)는 최근 관련 보험 의무 가입 대상을 매출 1500억원 이상 기업 등으로 대폭 축소하기로 결정하면서 중소·영세 업체의 대응력이 약해질 것이라는 지적이 나온다.

20일 손해보험업계에 따르면 지난해 말 기준 개인정보유출 배상책임보험을 취급하는 15개사(삼성·메리츠·한화·롯데·MG·흥국·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나)의 가입 건수는 총 7769건으로 집계됐다.

개인정보위는 2020년 개인정보 유출에 따른 손해배상책임 이행시 자금조달이 어려운 사업체를 위해 개인정보 손해배상 책임보험 가입을 의무화했다. 가입 대상은 전년도 매출액 등이 10억원 이상에 정보 주체 수가 1만명 이상인 기업이다.

개인정보위는 대상 기업을 약 8만3000∼38만개로 추정하고 있다. 이를 고려했을 때 지난해 말 기준 개인정보유출 배상책임보험 가입률은 2.0∼9.4% 수준에 그치는 셈이다.

업계에서는 정부가 의무 대상 기업 범위를 구체적으로 파악하는 것 자체에 한계가 있다 보니 점검·관리가 실효성 있게 이뤄지지 못하고 있다는 지적이 나왔다.

해킹사고가 일어난 SKT도 10억원 한도의 책임보험을 들어 보상 체계가 취약한 것 아니냐는 논란이 일어난 바 있다.

심지어 개인정보위는 해당 보험 의무 가입 대상 기업 범위를 더 좁히는 등 역행보를 보이고 있다.

개인정보위는 지난 3월 의무대상 기업의 기준을 '매출액 1500억원 이상이면서 관리하는 정보주체 수 100만명 이상'으로 조정하기로 했다. 이와 관련해사이버 보안 이슈가 더 중요한 시점에 개인정보 보호가 약화하는 것이 아니냐는 비판이 나왔다.

당시 개인정보위는 기존 의무 대상 범위가 너무 넓어 실질적인 점검·관리가 어렵다는 이유로 의무대상을 조정한다고 밝혔다.

개인정보위가 새롭게 제시한 기준에 따르면 의무 가입 대상은 불과 200곳 정도로 줄어들게 된다.

개인정보보호법 상 의무보험 가입 제도의 취지가 배상능력이 부족한 기업에 개인정보 유출 사고 발생 시 피해자를 보호하는 것인데 배상 능력이 충분한 기업에만 보험 가입 의무를 부여하고, 매출 1500억원 미만의 기업에 보험 가입 의무를 제외하는 것은 개인정보보호법 제정 목적과도 어긋난다는 지적이다.

김규동 보험연구원 연구위원은 "규모가 큰 기업보다 중소·영세업체들의 보안 역량이 더욱 취약한데 보험 가입 의무사항을 면제해버리면 개인정보 보호나 보안 리스크에 업체들의 인식이 소홀해질 수 있어 우려된다"고 말했다.

김 연구위원은 이어 "보험에 가입하지 않아도 사전적으로 예방을 잘할 수 있도록 강한 규제가 있다면 상관이 없을 것"이라면서 "현 상황에서는 의무 대상을 축소할 것이 아니라 의무 가입 대상을 효과적으로 관리하는 방식을 찾는 것이 더 낫다"고 부연했다.

개인정보위 관계자는 이에 대해 "현재 폭넓게 의견 수렴을 하는 단계"라며 "중소기업에는 의무는 면하되 자발적으로 가입할 수 있는 인센티브를 줄 것"이라고 설명했다.

홍윤기 기자 다른기사 보기