요즘 글로벌 기업들이 가장 촉각을 곤두세우는 리스크 중 하나는 사이버 공격이다. 2017년 낫페트야 사태와 워너크라이 공격, 2019년 록커고가, 2020년 솔라윈즈, 2021년 카세야 사건 등 대규모 사이버 공격이 잇따르면서 언제 어떤 피해를 입을지 예측이 불가능하기 때문이다. 가령 ‘IT 역사상 최악의 공급망 공격’이라 꼽히는 솔라윈즈 사건에서 악성 코드 공격을 당한 건 IT 모니터링 소프트웨어를 만드는 기업(솔라윈즈) 한 곳이었지만, 이 제품을 이용하는 1만8000여 기관과 기업이 피해를 봤다. 이 중에는 미국 국방부와 재무부 같은 주요 정부 기관은 물론 마이크로소프트, 인텔 같은 대기업과 맨디언트, 파이어아이 같은 유명 사이버 보안업체까지 껴 있었다. 신종 코로나 팬데믹(대유행) 이후 디지털 전환이 가속화하면서 어떤 기업도 사이버 공격에서 자유로울 수 없어진 것이다.

이런 리스크를 회피할 수단으로 주목받는 것이 사이버 보험이다. 미국 재무부 산하 연방보험청(FIO)은 작년 9월 연차 보고서에서 “사이버 공격에 따른 기업들의 손실이 커지면서 사이버 보험 상품에 대한 관심도 늘고 있다”며 기업들이 지급받은 사이버 보험금이 2020년 평균 35만8000달러로 전년(14만5000달러) 대비 2배 이상으로 늘어났다고 밝혔다. 미국 경제지 포브스는 “사이버 보험은 좌초된 사이버 보안 전문가를 위한 새 구명보트”라며 “사이버 공격을 피하기 어려워지는 만큼 이를 보장하는 보험은 모든 기업에 중요해졌다”고 했다.

◇사이버 재앙에 필수품 된 사이버 보험

사이버 보험의 역사는 길지 않다. 보험사들이 사이버 보험을 다루기 시작한 건 1990년대 말부터인데 그마저도 개인정보 유출에 따른 소비자 피해 보상 등 제3자 배상책임에 국한됐다. 기업이 입은 피해까지 보장하는 상품을 찾긴 어려웠다. 2010년대 들어 암호화한 데이터를 인질로 몸값(ransom)을 요구하는 사이버 범죄 ‘랜섬웨어’ 공격이 유행하면서 기업이 입은 피해까지 보상하는 사이버 보험이 등장하기 시작했다.

요즘엔 개인정보보호법 위반에 따른 제반 비용뿐 아니라 손상 데이터와 소프트웨어 복구 및 교체에 들어가는 비용, 영업 중단에 따른 손실 보전, 벌금과 위약금, 심지어 사이버 범죄 조직에 건네는 몸값까지 보험이 커버한다. 미국의 사이버 보험 전문 보험사 코얼리션은 “보험 계약자들이 (사이버 범죄 조직으로부터) 요구받은 평균 몸값은 작년 상반기 119만3159달러로 전년 동기(44만4489달러) 대비 거의 세 배 증가했다”며 “몸값을 비롯해 사고 대응 비용과 손실 데이터 복구 비용, 사고로 인한 수입 손실을 모두 보험으로 충당했다”고 설명했다.

사이버 보험 시장이 급성장하면서 2020년 미국 보험사들의 보험료 수입은 30억달러로 전년 대비 20.6% 늘었다. 하지만 보험사들의 얼굴이 밝지만은 않다. 보험금 지출은 이보다 훨씬 빠른 속도로 늘고 있기 때문이다. FIO에 따르면 같은 기간 평균 보험금 지급액은 무려 146.8% 급증했다. 이 때문에 보험료율이 하루가 다르게 오르는 중이다. 미국 보험중개인·대리점협회(CIAB)에 따르면, 사이버 보험의 보험료율은 2019년 2분기 1.2%였으나 불과 2년 만인 2021년 2분기에는 25.5%로 껑충 뛰었다.

보험사와 가입자 간 분쟁도 늘고 있다. 핵심 쟁점은 사이버 보험에 전쟁 면책 조항을 적용할 수 있느냐 여부다. 통상 전쟁 같은 비상사태는 인과관계나 손해 정도를 예측하기 어렵고, 보험금 규모가 걷잡을 수 없이 커질 수 있어 보험사의 지급 의무가 면제된다. 우리나라도 상법 660조를 통해 보험사고가 전쟁으로 인해 생긴 때에는 계약당사자 간 다른 약정이 없으면 보험회사의 면책을 규정한다.

그런데 보험사들은 북한이나 러시아 등 국가가 배후에 있는 사이버 공격은 전쟁이나 다름없기 때문에 보험금 지급 의무가 없다고 주장한다. 336년의 역사를 자랑하는 영국 대표 보험사 로이드는 지난해 11월 ‘국가 단위 사이버 전쟁과 사이버 작전은 사이버 보험 보장 범위에서 제외한다’는 약관을 새로 발표했다. 특정 상황이 사이버 전쟁에 해당하는지 판단하는 기준에 대해서도 ‘국가의 공식 발표가 결정적인 역할을 하지 않는다’고 규정했다. 사이버 공격의 진원지로 의심할 만한 정황이 충분하다면 해당 국가가 부인하더라도 보험금을 지급하지 않겠다는 것이다.

◇급증하는 사고에 보험사 울상...국가 책임론도

하지만 최근 미국 법원은 보험사 대신 고객인 기업 편을 들어줬다. 러시아가 배후로 지목된 낫페트야 사건으로 약 20억달러 손실을 본 제약사 머크가 보험사들을 상대로 벌인 소송에서다. 보험사들은 전쟁 면책 조항을 근거로 보험금 지급을 거부했지만, 소송을 맡은 뉴저지 법원은 지난 1월 “약관에 명시된 전쟁은 재래식 전쟁만을 뜻한다”며 14억달러를 보상하라고 보험사에 명령했다.

그러나 국가 간 사이버 전쟁의 피해를 민간 기업과 보험사가 온전히 떠안는 것이 정당한지, 정부는 책임으로부터 자유로운지 논란이 여전하다. 그래서 미국과 영국, 프랑스, 독일, 호주 등 일부 보험 선진국은 정부가 보상 책임을 일부 나눠 지는 추세다. 사이버 공격의 주요 표적인 미국에는 9·11 테러를 계기로 도입된 테러위험보험법(TRIA)이 있다. 테러로 인한 보험금이 일정액을 초과하면 보험사와 정부가 2대8 비율로 손실을 분담하는 내용인데, 지난 2017년부터 사이버 공격도 테러의 일종으로 간주하고 있다. 1993년 테러보험 전용 재보험회사 풀 리(Pool Re)를 설립해 상환조건부 무제한 지급보증을 제공해온 영국도 2018년부터 사이버 공격을 보장 범위에 포함했다.

반면 한국의 사이버 보험 시장은 걸음마 단계이고 정부 지원도 없어 사이버 공격으로 피해가 발생하면 기업이 고스란히 감당해야 한다. 사이버 공격에 따른 국내 피해 규모는 연간 2조5000억원에 달하지만 국내 사이버 보험 시장 규모는 400억원 수준이다. 송윤아 보험연구원 연구위원은 “국내 사이버 보험은 개인정보 유출 및 제3자에 대한 배상 책임에만 국한된다”며 “사이버 공격으로 기업이 재물 또는 영업 중단 손해를 입었을 때 어떻게 리스크를 관리해야 하는지 유의미한 논의가 이뤄지지 못했다”고 지적했다.

WEEKLY BIZ Newsletter 구독하기https://page.stibee.com/subscriptions/146096