쿠팡 등 업권을 불문하고 대규모 고객정보 유출사고가 잇따르는 가운데 일정 규모 이상의 기업들이 피해자 구제를 위해 적립해야 하는 ‘개인정보유출 배상보험’의 법정 최저 가입금액이 낮아 문제라는 지적이 나오고 있다.
8일 보험업계 등에 따르면 개인정보보호법은 개인정보 유출 시 기업이 손해배상을 하도록 규정하고 있으며, 이에 대비해 관련 보험 가입도 의무화하고 있다.
가입 대상은 전년도 매출액 10억원 이상∙정보주체 수가 1만명 이상인 곳부터다. 기업 규모가 커지며 최저 가입금액이 늘어나는 식으로 차등화하고 있다.
문제는 실질적인 배상 여력을 확보하기 어려울 만큼 최소 가입한도가 너무 낮게 설정돼 있다는 점이다. 실제로 매출 800억원 초과∙정보주체 100만명 이상 구간의 대기업조차도 보험 최소 가입한도가 10억원에 불과하기 때문이다.
쿠팡은 현재 메리츠화재의 개인정보유출 배상책임보험에 보장 한도 10억원으로 가입돼 있다. 이번 정보유출 사고로 배상 책임이 인정되더라도 보험을 통해 받을 수 있는 최대금액이 10억원에 불과한 것이다. 이번 사고로 유출된 고객 계정이 3370만개에 달하는 만큼 개인정보 유출 사태 관련 손해배상 소송 가운데 역대 최대 규모가 될 가능성도 거론되지만 10억원으로는 사실상 보상이 불가능한 수준이다.
앞서 2300만명의 개인정보 유출 사고가 난 SK텔레콤 역시 현대해상의 개인정보유출 배상책임보험에 가입했지만, 보장 한도는 동일하게 10억원이다. 다만 SK텔레콤은 기존 보험의 보장 한도·범위를 보완하기 위해 지난 10월 말 1000억원까지 보장 가능한 ‘사이버 보험’에 추가 가입한 것으로 알려졌다.
정보유출 사고 발생 시 피해자가 최대 수천만명에 달할 만큼 심각성이 크다 보니 총 10억원의 보험금은 피해자에게 충분한 배상을 하기에 매우 부족한 수준이라는 비판을 피하기 어렵다. 이 때문에 대규모 정보 보유 기업에 대한 최소 보험가입금액 상향 필요성을 제기하는 목소리가 나온다.
일각에서는 매출액 10조원을 초과하고 정보주체 수가 1000만명 이상인 대기업의 경우 최소 보험 가입금액을 현행 10억원에서 1000억원 수준으로 상향할 필요가 있다고 보고 있다.
아울러 보험 미가입 기업에 과태료 부과 등 적극 행정도 필요하다는 의견도 있다. 개인정보보호법은 의무보험에 가입하지 않을 경우 시정조치 명령을 내리고, 이를 따르지 않을 경우 3000만원 이하의 과태료를 부과하도록 하고 있다.
국회 정무위원회 소속 김승원 더불어민주당 의원은 “수천만 명의 고객 정보를 보유한 대형 플랫폼 기업들이 개인정보유출 배상보험을 법정 ‘최소한도’인 10억원에만 가입해 온 것은 대규모 사고가 발생한 지금, 현실적으로 피해구제 기능이 전혀 작동하지 않는다는 점을 적나라하게 보여준다”며 “고작 10억 원 한도로 책임을 다할 수 있을지, 현행 제도가 누구를 위한 제도인지 근본적 점검이 필요하다”고 지적했다.
노성우 기자 sungcow@segye.com
