본문 바로가기

리스크 인사이트

[경제시평] '사이버보험 공급체계 개선' 시급하다

세계경제포럼의 2022년 글로벌리스크보고서에 따르면 2020년 맬웨어와 랜섬웨어 공격이 각각 358%와 435% 증가한 것으로 나타났다. 코로나 팬데믹을 계기로 디지털 전환이 빨라지면서 사이버범죄자들이 활동을 확대한 것이다. 사이버범죄는 이제 개인이나 소규모 집단을 넘어 국가 또는 준정부나 테러조직 차원에서 시도되고 있다. 낫페트야(NotPetya)는 배후에 국가가 있다고 의심받는 대표적인 사이버범죄 사례다.

올 1월 미국 뉴저지주의 1심법원은 보험회사가 적용하려던 '사이버 전쟁' 조항을 적용하지 못하게 했다. 이 소송은 전세계적으로 관심을 끌었다. 2017년 낫페트야 공격을 받은 세계적 제약회사 머크가 보험회사에 청구한 14억달러의 보험금을 받지 못하면서 시작된 소송이기 때문이다. 보험회사는 '사이버 전쟁' 조항을 적용하려고 했으나, 법원은 '그러려면 국가 간 실제 공식적인 전쟁과 그와 직접적으로 관련된 행위가 필요하다'며 받아들이지 않았다. 이 소송이 어떻게 결말이 날지는 더 두고 봐야겠지만 보험회사들은 이 판결을 계기로 새로운 약관을 마련하는 등 대책을 수립할 것이다.

사이버보험, 수요는 크나 공급은 어려워

보험회사는 '사이버 전쟁' 외에 리스크를 포괄해 보험으로 보장하는 기존의 재물보험과 배상책임보험에서 '묵시적 사이버'라는 리스크를 안고 있다. 이는 사이버 리스크를 명시적으로 포함하거나 배제하지 않은 채 보험보장에 들어 있는 잠재적 사이버 리스크의 노출을 말한다. '묵시적 사이버'는 보험회사가 그러한 내용을 약관에 포함했을 때와는 다른 상황에서 예상보다 큰 금액의 보험금을 지급해야 할 수도 있어 보험회사에 문제가 된다. 또한 보험계약자도 보장 여부가 모호하게 표현돼 보험금 지급이 확실하지 않아 우려스럽다.

그렇다 보니 사이버 리스크가 커지는 환경에서 사이버보험에 대한 수요는 커지나 공급이 수요를 충족시키지 못할 가능성이 있다. 우선은 보험회사가 예측가능한 범위로 보장범위를 좁힌 단독형 사이버보험 공급을 선호할 수 있다. 또한 '사이버 전쟁' 면책조항을 어떤 형태로든 약관에 포함시켜 그에 해당하는 행위를 보장하지 않으려 할 것이다. 그렇게 되면 사이버보험의 효용성에 대해 논란이 커질 것이다.

이러한 논란에 대비해 사이버보험의 역할을 근본적으로 돌이켜볼 필요가 있다. 사이버보험은 보험계약자가 최소한 법규가 요구하는 수준의 사이버보안을 하도록 하는 예방적 기능은 있지만 사이버공격을 막아내지는 못한다. 오히려 사이버공격이 발생했을 때 사후적으로 피해를 보상하는 역할이 더 크다. 더구나 국가가 배후에 있거나 테러조직이 저지르는 사이버공격이 빈발하는 상황에서 보험회사를 통해 피해보상을 하는 데는 한계가 있을 수밖에 없다.

사이버보험 공급 여건을 정비할 필요 있어

그렇다면 원칙적 접근법을 취해야 한다. 보험 보상 이전에 사이버공격을 막기 위한 사이버보안을 국가와 각 경제주체가 함께 해내야 한다. 특히 안보 차원에서 사이버공격을 막아내는 국가의 역할이 중요하다. 그리고 각 경제주체는 국가의 지침에 따라 사이버보안을 강화해야 한다. 이러한 노력을 기울이는 데도 발생하는 피해에 대해서는 사이버공격의 성격에 따라 정부와 보험회사가 역할을 분담해 함께 보상할 수 있는 체제를 갖추어야 한다. 즉 정부와 보험회사가 협력해 사이버보험 보장의 공백을 최소화할 수 있어야 한다.

디지털 전환은 산업현장과 일상생활을 크게 바꿀 것이다. 생산을 혁신하고 생활의 편리를 크게 개선할 것이다. 그러나 이 모두가 사이버공격으로 위협받는다면 항시 불안 속에서 지낼 수밖에 없다. 따라서 예방적 대응과 사후적 보상이 조화를 이룰 수 있도록 사이버보안 체계를 다시 수립할 필요가 있다. 이 과정에서 보험산업은 사이버 리스크를 제대로 관리할 수 있는 역량을 더욱 강화해야 할 것이다.

 

출처: 내일신문, 경제시평, 2022. 2. 21. 12:05:48 게재