방재정보

방재 관련 기술정보를 전해다립니다.

국내 사이버 보험 현황과 과제

최현화 파트장(삼성화재해상보험 일반U/W파트 수석)

1. 머리말

전세계는 물론 국내에서도 점점 진화하는 사이버 공격 대비 국내 기업 및 기관들은 사이버 공격에 대한 대비책으로 보험을 얼마만큼 활용하는지 현황과 사이버 보험시장 활성화를 위한 방안을 찾아보고자 한다.

2. 국내 사이버 보험 현황

가. 사이버 위험 관련 보험 시장 현황

(1) 국내 사이버 위험 관련 보험 시장은 의무보험(배상책임) 중심으로 형성되어 해외 대비 사이버종합보험의 가입 및 매출은 저조

국내에서 사이버 위험과 관련하여 보장받을 수 있는 상품으로는 사이버 종합보험, 개인정보보호배상책임보험, 전자금융거래배상책임 보험 등이 있다. 

개인정보보호배상책임보험은 개인정보의 유출로 인한 법률상 배상책임 및 대응 비용 등을 보장받을 수 있는 상품으로 2015년 신용정보법에 따라 신용정보회사 등 일부 업종에 대해 배상책임보험 가입 의무화를 시작으로 하여 2019년 정보통신망법 개정으로 매출액 5천만원 이상, 개인 정보수 1천명 이상 기업들에 대해서는 모두 보험을 가입하도록 의무화 대상이 확대되었다.

전자금융거래 배상책임은 전자금융거래, 전자지급거래 업무와 관련하여 접근 매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래 지시의 전자적 전송이나 처리과정에서 발생한 사고, 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조 제1항 제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근 매체의 이용으로 발생한 사고로 인하여 금융기관의 이용자에게 손해가 발생하여 제기된 법률상 배상책임을 보장받을 수 있는 상품으로 2007년 전자금융거래법 제정으로 전자금융업자에 대해서 보험가입이 의무화되었다.

이러한 주요 배상책임부분에 대해 의무 보험이 운영되고 있다 보니, 대부분의 금융기관 및 기업들은 최소한의 의무 보험만 가입하고, 배상책임을 비롯한 자기 재물 담보, 기업 휴지 담보, 랜섬 비용 담보 등 기업이 지닌 사이버 관련 모든 위험을 종합적 담보하는 임의보험인 사이버종합보험의 가입률은 저조한 상황이다.

(2) 국내 법률규제환경 미비와 함께 계약자의 위험 인식 정도와 보험에 대한 인식 차로 인해 사이버종합보험 가입은 해외 대비 매우 낮음

법적으로 징벌적배상규정이 있으나 법원에서 판결 나는 경우가 거의 없으며, 배상책임의 경우에도 해외 대비 낮은 배상 책임액 판결 및 특히 개인정보 유출에 대하여서는 이미 과거부터 어느 경로를 통해서든 많이 유출되어 있다는 인식으로 인해 배상청구 및 소송이 잘 이루어지지 않아 과도하게 큰 금액의 배상 청구로 인하여 기업의 존폐에 위협이 되는 수준이 되지는 않을 것이라는 인식으로 기업 내부에서 위험 충당을 하는 방식을 주로 선호하며 보험가입으로 까지 이루어지는 비율이 낮다.

또한 사이버위협이 기업의 생존에 위협이 될 수도 있는 위험한 요소라는 경각심이 낮고, 또한 사이버공격을 당했다고 하더라도 이러한 사실이 알려지면 기업의 평판에 저해요소가 될 수 있어 기업 내부에서 사고를 조용히 처리하고 제3자인 보험자에 보험까지 가입하여 이러한 사실이 알려지는 것을 꺼려하는 현실이다.

설령 보험가입을 고려했더라도 현재 국내 시장 전체 보험가입이 얼마 없는 상태에서 해외에서는 랜섬웨어 공격을 중심으로 1천억원 이상의 고액 보험사고 및 크고 작은 사고가 워낙 많아 전체 보험시장의 사이버 보험료 자체가 높게 형성되어 있고, 보험자들이 원하는 위험평가 척도와 설문서, 서베이 등이 까다로워 더더욱 사이버 보험가입율이 저조한 상황이다.

나. 사이버종합보험 가입 현황

(1) 보험료, 계약건수 및 요율 추이

2022년 국내 사이버종합보험 전체 보험료는 185억원으로 전세계 사이버 보험료 $12BIL(120억불) 원화 기준 약 13.6조원에 비하면 0.1% 남짓 수준이며 앞서 언급한 의무 보험을 비롯한 각종 사이버리스크 관련 배상책임보험을 다 합하더라도 전세계 시장의 0.5%가 되지 않는 수준으로 사이버종합보험 가입은 전세계 특히 미구 유럽 등과 비교해 보았을 때 절대적 수치로 매우 낮은 상황이다.

그럼에도 불구하고 사이버종합보험의 과거 5년간 통계를 보면 수적, 양적으로 모두 지속적으로 높은 성장률(연평균 성장률 36%)로 증가하고 있다.

2018년 국내 전체 사이버보험 가입 계약수 21건, 보험료 55억원에서 2022년 58건, 185억원으로 지난 5년간 건수 측면 2.8배, 보험료 측면 3.4배 증가하였다.

2018년에만 하더라도 일부 대기업 및 소수의 중견기업 중심으로만 보험가입이 있었으며, 중소기업은 글로벌 기업의 한국 지법인 정도 가입하는 정도였으나, 최근 들어서는 대기업의 보험가입도 점차 확대되고 있으며, 중소기업의 자발적 보험가입도 2022년부터 시작하여 현저하게 가입 빈도가 늘어나 가입 2021년대비 계약수 57% 증가, 보험료 64% 증가하였다. 또한 영리법인인 기업체뿐만 아니라 비영리법인, 단체 및 지방자치단체들의 가입도 지속 늘어나고 있는 추세이다. (참고로, 지방자치단체계약은 시, 군, 구청 등 작은 단위 별 가입으로 현재 총 약 40여건 정도 되나 분석한 통계에서는 전체적으로 데이터 해석에서의 왜곡을 방지하기 위해 각 연도별로 지방자치단체 계약 전체를 총 1건으로 처리함)

2023년 상반기까지만 보더라도 2022년보다 대기업을 비롯한 중소기업의 가입도 증가하고 있어 2023년 역시 사이버보험 계약수와 가입 보험료는 과거 5년의 연평균 성장률 이상으로 증가할 것으로 예측된다.

보험료의 증가율이 계약수의 증가율 보다 큰 것은 전세계적 사이버보험 사고 증가로 인하여 전체 사이버보험에 대한 재보험 시장 요율이 올라간 것이 주요 요인이며, 팬데믹 시점 재택근무 및 온라인 활동이 증가하며 22021년에는 2020년 대비 25%까지 요율이 상승되었다가 2022년에는 19.8%로 요율 증가폭은 둔화되었으나 여전히 매우 높은 요율 인상율을 보이고 있다.

그러나 대부분의 요율 인상은 보험가입보상한도가 커서 해외 재보험까지 이루어져야만 하는 대형계약에서 발생하며, 10억 이내의 작은 보상한도로 가입하는 중소형 계약에 대한 요율 인상폭은 5% 내외로 기타 다른 보험 상품과 유사한 수준이다.

(2) 가입보상한도 분포 (2022년 기준)

  2022년 가입 계약수 기준으로 절반에 가까운 45%의 계약 가입자는 중소기업으로 보상한도 15억원 이하 중소형 계약이며, 대기업들도 통상 200~300억 수준으로만 하고 있어 우리나라 전체 계약의 90%가 보상한도 300억원이하이다.

해외에서는 하나의 사이버 공격으로 보험 사고 금액 1억불 이상 발생하기에 통상 대기업들의 경우 2.5억불이상 6억불까지도 가입하고 있으나, 국내는 500억원 이상 가입하는 회사는 글로벌 회사 몇 곳에 국한되어 있다.

3. 사이버종합보험 활성화를 위한 과제

가. 사이버종합보험 확대 요인

(1) 3R (Risk, Rate, Regulation)

 글로벌 브로커사인 하우든에서 2022년 발간한 자료에 의하면 사이버종합보험 확대 요인으로 3R, 즉 Risk, Rate, Regulation을 꼽았다.

Risk는 전세계적으로 대형 사이버 사고의 지속발생으로 계약자의 사이버종합보험 수요가 증가하고 있다. 글로벌 랜섬웨어 공격 횟수 170% 증가, 미국내 평균 랜섬웨어 비용 290% 증가하여 위험 자체가 급격히 증가하고 있다.

Rate는 이러한 사고의 빈도 및 심도 증가에 따라 요율 인상이 지속되고 있어 보험자 입장에서는 설령 보험가입수가 증가하지 않더라도 보험료 양의 증대되므로 시장 확대요인이다.

Regulation은 유럽의 개인정보규정에서 매출의 4%까지 과징금을 부과하는 등 법률적 규제 강화 움직이 전세계 여기저기서 나타나고 있다. 한국에서도 2019년 개인정보보호배상책임보험 가입 의무 대상 업체를 대폭 확대하고, 과징금 부과 규정을 삽입하는 등의 조치가 있었으며, 최근에는 비대면 금융사고 관련하여 금융기관의 책임을 확대적용하고자 하는 움직임도 있는 등 전세계적으로 규제 강화 정책이 실행되고 있다.

(2) 국내 사이버 공격 침해 사고 지속 증가

앞서 본 국내 사이버종합보험 현황 자료에서 손해율이나 보험 사고에 대한 언급이 없었던 이유는 국내 사이버종합보험 가입자 수가 2022년 급격히 증가하여 58건에 불과하다 보니 실제 보험가입 계약 중 사고발생은 거의 없어, 손해율은 1% 미만으로 미약하고 이는 워낙 보험가입 모수가 적기 때문이며, 실제 우리나라 기업들이 사이버 공격으로부터 안전하다는 이야기는 아니다.

과학기술정보통신부의 ‘2023년 상반기 주요 사이버 위협 동향 분석’ 보도자료에 따르면 사이버 공격 침해 사고 신고건수는 2022년에 1,142건으로 2021년 640건 대비 78.4% 증가하였으며, 2023년도 상반기에만 664건으로 전년동기 대비 40% 증가하였다.

또한, 공격자들은 보안 수준이 낮은 영세기업을 집중 공격하는 양상을 보이고 있으며, 동 기관의 2022년 분석 자료에 따르면 사이버공격 침해 사고 중 기업규모별 비중을 보면 중소기업 93%, 대기업 6%, 비영리 1%을 차지한다.

특히 2023년 상반기 제조업 비중은 62.5% 증가하였으며, 이 결과가 위험한 것은 공급망 보안 때문이다. 이 공급망 사슬 구성에는 다수의 파트너사, 협력업체 등 내외부의 다양한 조직들이 얽혀 있고, 규모가 큰 대기업 및 기관들은 상대적으로 견고한 보안체계를 갖추고 있으나, 이들의 공급망 속에서 가장 취약한 틈을 먼저 공격, 침투하고, 연쇄적으로 광범위하게 피해를 넓혀가는 형태이므로, 영세기업들은 물론 견고한 대기업 및 기관도 사이버 위협에서 안전할 수는 없기에 위험 측면에서 사이버종합보험 확대 요인이 충분히 있다고 볼 수 있다.

나. 사이버종합보험 활성화를 위한 과제

(1) 사이버종합보험 생태계 조성

이러한 사이버 위험 증가에 대응하여 사이버종합보험을 활성화 하기 위해 중요한 것은 사이버보험 생태계 조성이다.

2021년 보험연구원의 ‘주요국 정부의 사이버보험 시장 참여 배경 및 동향’자료에 따르면 미국의 경우 보안강화를 위한 사이버 생태계 구성 전략을 세우고 2019년 미 국방수권법에 따라 사이버 위원회를 설립하고 사이버 공격에 대한 미국의 전략적 방안 및 사이버 보장 범위 확대 연구를 하였다.

사이버통계국 신설(정부의 효과적인 사이버안보정책 구상 및 보험사의 정확한 사이버 리스크 평가 목적), 전문가 양성 및 상품개발(전문 언더라이터, 손해사정사 교육 등을 통해 사이버 보험시장의 역량 향상), 사이버 리스크 모델링(국가안보부 내 정부-보험사-모델링 업체 공동 작업반 신설 사이버 요율 산출 기반) 및 정부의 재보험 지원(의회 산하 회계감사원은 재난에 가까운 매우 심도가 큰 사이버 사고에 대한 정부의 재보험 지원 연구를 상무부에 제안) 등에 따라 사이버 위험에 대한 민간 보험사의 효과적인 언더라이팅과 요율 제시를 통해 계약자의 자발적인 리스크 관리를 강화시키기 위한 목적이었다.

이처럼 우리나라도 화재보험협회, 금융정보분석원, 학계 등 기관과 민간 보험사가 협업하여 이러한 생태계가 조성된다면 사이버 보험이 진일보 될 것으로 생각한다.

더불어 민간의 자발적인 리스크 관리와 국가차원의 보안 역량 강화를 위해 정부 차원의 제도적 관심과 의무 보험화 등에 대한 논의까지 된다면 대한민국의 사이버 보험 시장도 해외와 같은 성장을 할 수 있을 것으로 기대한다.

(2) 계약자에 맞춘 상품 및 보험 요율 차별화

부가적으로 보험사에서는 계약자별로 그에 맞춘 상품 및 보험 요율 차별화 전략이 필요하다

대기업은 사이버 위험 관련하여 기업휴지손해, 랜섬 비용, 데이터 복구비용 등의 자기 재산 담보와 개인정보유출 배상책임, 기밀정보유출배상책임, 네트워크보안 및 미디어 배상책임 등 모든 위험을 전반적으로 보장받을 수 있도록, 모든 담보를 확장담보하고, 통상 북미 및 유럽지역에서 글로벌 기업들이 2.5억불에서 6억불까지 구매하는 것을 고려한다면 50억 100억의 낮은 보상 한도가 아닌 글로벌 기업 가입 수준인 1억불 이상 가입으로 리스크 컨설팅이 필요하다.

중소기업은 보험가입에 따른 비용 및 복잡한 절차에 대한 부담을 최소화 하면서 기업이 처한 사이버 공격 위협에 대한 본질적 위험은 보험으로 보장받을 수 있도록 리스크 서베이 절차를 간소화하고 낮은 보상 한도와 핵심 담보위주로 보험을 구성하여 적정한 보험료를 책정하여 가입률을 높이는 것에 중점을 두어야 할 것이다.

마지막으로 개인이 직면할 수 있는 위험인 사이버 금융범죄, 인터넷 사기거래등을 담보할 수 있는 상품을 통하여 개인도 보험을 가입 가능하거나, B2B2C 형태의 가입을 통해 사이버 보험시장을 확대할 수 있을 것이다.

4. 맺음말

해외 대비 국내 사이버종합보험의 시장은 아직 크지는 않으나 최근 5년간 지속적으로 높을 성장률로 커지고 있으며, 사이버 위험 요소도 지속 증가되고 있으므로, 화재보험협회를 비롯한 여러 기관 및 보험사의 협업으로 위험 진단 표준 및 인수를 위한 기준 마련 등 사이버 보험 생태계를 조성하고, 각 기업체에 맞춘 상품과 적정한 보험 요율 책정을 통하여 사이버종합보험 시장은 한층 활성화 될 것으로 기대한다