[파이낸셜뉴스] 사이버 침해사고가 잇따르면서 기업 보안 체계를 전면 재정비해야 한다는 지적이 잇따른다. 정부가 제재 수위 강화와 선제 조사 검토에 나섰지만 근본적 개선을 위해서는 기업이 능동적으로 보안시스템을 점검하고, 사이버 보험 등의 안전장치를 필수적으로 마련해야 한다는 목소리가 높아지고 있다. 세제혜택과 보험료 지원 등 정책적 인센티브와 더불어 사이버보험의 보장범위 확대와 보장내용 명확화 등이 필요하다는 조언도 나온다. 사이버 보험은 개인정보 유출 대응·데이터 복구·해킹 협상 비용 등을 보상하는 상품이다.
■해킹 위험에 사이버보험 급성장
23일 보험연구원에 따르면 해킹 등 보안·사이버 범죄가 성행하면서 전 세계 사이버보험 시장은 오는 2027년까지 290억달러(약 40조4173억원) 규모로 커질 것으로 전망된다.
전 세계 사이버보험 시장규모가 급성장할 것으로 전망되는 것은 사이버 공격이 제한된 공간이 아닌, 세계 전 지역에서 동시 다발적으로 발생할 수 있는 데다 그로 인한 누적위험 측정이 쉽지 않기 때문이다. 이에 따라 130년 역사를 가진 로이즈(Lloyd's) 시장(조합) 등 영국 보험업계는 "대규모 사이버 사고가 초래할 수 있는 경제적 피해 규모가 자연재해 수준에 이를 수 있다"고 경고하고 나섰다.
현재 한화손해보험과 삼성화재, 현대해상 등 주요 손해보험사들이 사이버 보험 상품을 판매하고 있다. 한화손해보험의 경우 사이버 침해 전담 조직인 '사이버RM(Risk Management)센터'를 설립해 가장 전문적인 대응체제를 갖추며 업계를 이끌고 있다. 하지만 국내 사이버보험 시장 규모는 아주 작다. 전 세계 사이버 보험 시장규모가 급성장하는 데 비해 우리나라의 시장 규모(2023년 기준)는 단 300만달러(약 42억원)에 불과한 실정이다.
우리나라에서 사이버 보험 시장이 커지지 않는 배경에는 여러 가지 복합적인 요인이 작용하고 있다. 특히 우리나라의 경우 해킹 등 사이버 사고가 금전적 손실뿐만 아니라 기업 이미지와 신뢰도에 타격을 주는 평판리스크를 초래할 수 있는 만큼 사고 사실을 외부에 드러내기보다 리스크를 감수하는 방식을 선호하고 있다. 계약자 인식이 부족한 데다 제도적 뒷받침도 잘 안 되고 있다.
전문가들은 국내 사이버보험 시장을 키우기 위해서는 사이버보험의 표준화를 통해 계약자의 이해를 높이고 다양한 리스크를 보장범위에 포함시켜야 한다고 입을 모으고 있다.
권순일 보험연구원 연구위원은 "사이버보험 상품은 어렵기 때문에 가입자 입장에서 보험료가 비싸다고 생각이 들 것"이라며 "다양한 사이버 리스크를 사이버보험 보장범위에 포함시켜 보험 가입의 실질적인 효과를 체감할 수 있는 상품을 구성할 필요가 있다"고 짚었다. 이어 "일단 사이버보험 시장이 형성이 되야 사이버 보험상품의 리스크 평가 모델도 정교해 질 것"이라고 강조했다.
■보안 여력 없는 中企, 정부 지원을
해킹 사건이 잇따르고 있지만 정작 중소기업들은 사고가 터진 후에도 능동적 대책을 마련하기는 어려운 것으로 나타났다. 김동아 더불어민주당 의원이 한국인터넷진흥원(KISA)에서 받은 자료에 따르면 최근 5년간 국내 기업의 사이버 해킹 피해는 6447건에 달했다. 2021년 640건이던 피해 건수는 지난해 1887건으로 3배가량 늘었다. 올해 8월까지만 이미 1501건이 신고돼 역대 최대치를 경신할 가능성이 크다.
이처럼 매년 피해가 급증함에도 기업의 보안 점검은 여전히 부족하다는 비판이 제기된다. 이해민 조국혁신당 의원실에 따르면 지난 5년간 침해사고를 겪은 기업 중 KISA에 기술지원을 요청한 곳은 절반 수준에 불과했다. 결국 정부는 기업 신고가 없어도 선제 조사에 착수하겠다는 방침을 발표했지만 전문가들은 이 역시 침해 징후에 기반한 사후 대응적 조사라고 지적했다.
박세준 티오리 대표는 "기업 스스로 사이버 면역력을 기르는 예방이 선행돼야 한다"면서도 "기업들이 점검 필요성을 인지하지만 당장 투입할 예산과 전문 인력이 부족해 실행으로 옮기지 못하는 경우가 많다"고 밝혔다.
특히 피해가 집중되는 중소기업을 위한 정부 차원의 실질적인 '보안 안전판'이 마련돼야 한다는 주장이 힘을 얻고 있다. 최근 5년간 전체 해킹 피해 5건 중 4건이 중소기업에서 발생했다. 한 보안 업계 관계자는 "중소기업이 보안 컨설팅·솔루션을 도입하도록 정부가 바우처 사업을 확대하고 전문 자문단을 제공해야 한다"며 "대기업이 협력사 보안 점검 지원 시 세액공제 혜택을 주는 방식도 고려해볼 만하다"고 조언했다.
곽진 아주대 사이버보안학과 교수는 기업에게 보안은 기본 책무인 만큼 자발적인 의지와 노력이 우선이라고 강조했다. 곽 교수는 "중소 기업 위주로 정부 지원 확대도 필요하지만 기업이 자체적으로 시스템 전반을 수시 점검해야 한다"며 "이미지 훼손을 걱정해 쉬쉬하다가 사고가 터지면 손실이 더 크다"고 말했다. 또 그는 "취약점을 사전에 제거하고 보완하는 방향이 기업 이미지를 오히려 좋게 만든다"고 밝혔다.
theveryfirst@fnnews.com 홍창기 박성현 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지