개인정보 유출 사고 피해를 보장하는 '개인정보 손해배상책임보험'의 실효성에 대한 지적이 끊이질 않고 있다.

의무보험이지만 가입률이 낮은데다 보험금 지급 사례 역시 전무하다. 여기에 의무가입 대상자 현황 파악조차 이뤄지지 않고 있어 제재하거나 감독할 수 있는 방안이 없다는 점도 문제로 지적된다.

25일 개인정보위원회 및 보험업계에 따르면 올해 7월 말 기준 개인정보 손해배상책임보험에 가입한 사업자는 8435곳이다. 제도 도입 당시 방송통신위원회가 대상사업자 규모를 18만3300사로 추정했던 점을 감안하면 가입률이 5%에도 미치지 못하는 셈이다.

개인정보 손해배상책임보험은 우연히 생긴 사고로 인해 기업이 보유한 개인정보가 유출될 경우 이에 대한 손해를 배상하는 보험이다. 보험사는 기업에 정보주체에게 지급해야 하는 손해배상금이나 개인정보 유출 사고를 해결하기 위한 소송, 변호사비용 등을 보장한다.

삼성화재, 현대해상 등 14개 손해보험사가 이 상품을 취급하고 있다. 이용자 수와 매출액에 따라 최저 보장금액은 5000만원부터 10억원 수준이다. 정부는 지난해 1월부터 개인정보를 취급하는 기업·사업장의 '개인정보보호 배상책임보험' 가입을 의무화했다.

의무보험이지만 가입 대상자도 파악되지 않고 있어 제재나 감독 방안도 마련되기 어려운 실정이다. 보험에 가입하지 않으면 적발 횟수에 따라 최대 1600만원까지 과태료를 부과해야 하지만 여태껏 과태료 제재가 이뤄진 사례도 없었다.

지금까지 보상 사례만 보면 무용지물 상품에 가깝다는 지적도 나온다. 보험상품이 나온 지 23개월 가량 지났지만 보험금 지급 사례가 전무하다. 개인정보위 관계자는 "법원 판결이 확정이 돼야 그에 따른 손해배상금을 지급하는데 아직 법원 판결까지 확정된 사례가 없다"고 말했다.

상황이 이렇다보니 개인정보위도 제도의 실효성을 높이고자 나섰다. 지난 6월 개인정보위는 개인정보 손해배상책임 보장제도 개선안을 발표하고 가입 의무 대상을 기존 정보통신서비스 제공자에서 ‘개인정보처리자’로 확대한다고 밝혔다. 가입 기준을 상향하고 면제 대상을 명확히 한다는 내용도 포함됐다.

그러나 의무가입 대상을 확대하는 데 그친 반쪽짜리 개편안이라는 지적도 나온다. 의무가입 사업자 현황을 파악하는 데는 여전히 어려움을 겪을 것으로 전망되기 때문.

개인정보위 관계자는 “현행법에는 가입 대상이 ‘정보통신서비스 제공자 등’으로 규정돼 있다”라며 “의무가입 대상을 특정 법에 따라 등록·허가된 기업으로 구체화하면 대상 기업이 줄어드는 데다 기업들간 불공평 문제도 나올 수 있고 개인정보 보유량을 공시하거나 신고하는 등 공개할 의무가 없어 모수 파악이 어려운 건 사실"이라고 말했다.

한 보험사 관계자는 "가입대상 기업들에 대한 보험가입 현황 파악의 문제가 해결되지 않는 이상 보험 가입자에 대한 관리체계나 시스템을 구축하기 어려워진다"며 "원활한 보험 가입자 관리를 위해 법률에 의해 개인정보 유출 등 사고에 대비할 수 있도록 관련 부처간 협업이 필요해 보인다"고 말했다.

한편 개인정보 손해배상책임보험의 의무 가입 대상은 업종과 상관없이 온라인으로 서비스를 운영하고 개인정보를 저장하고 있는 사업자다. 일평균 1000명(전년 10월~12월 기준) 이상의 개인정보를 저장하고 있는 사업자가 전년 5000만원 이상의 매출을 달성했다면 개인정보 손해배상책임보험을 필수적으로 가입해야 한다.

 

유정화 기자 uzhwa@kbanker.co.kr