시중은행은 해킹 위협이 증가하는 가운데 개인정보보호 배상책임보험과 추가 특약 가입으로 만일의 사고에 대비하고 있는 것으로 나타났다. 일각에서는 보험의 보장 범위를 확대하고 사후 보장에서 사전 예방으로 대응 체계를 전환해야 한다고 말한다.
12일 쿠키뉴스가 박정현 더불어민주당 의원실을 통해 확보한 5대 은행(KB국민·하나·우리·신한·NH농협은행)의 해킹 사고 관련 보험 가입 현황을 분석한 결과, 은행들은 공통적으로 개인정보보호 배상책임보험에 가입해 기본 담보인 ‘개인정보 유출’ 피해를 보장받고 있는 것으로 확인됐다. 이들 은행이 가입한 보험의 기본담보 보장 한도는 100억~200억원 수준이다.
개인정보보호 배상책임보험은 개인정보가 유출돼 제3자에게 법적 손해배상 책임이 발생할 때 손해를 보상하는 상품이다. 금융사는 개인정보보호법과 신용정보법에 따라 개인정보 유출 등으로 인한 손해배상 책임을 지기 위한 보험 및 공제 가입이 의무다. 보상에는 유출 피해자에게 지급하는 손해배상금과 소송·변호 등에 필요한 방어비용도 포함된다.
은행, 기본+특약으로 사고 대비
은행별 가입 현황을 보면 우리은행은 우리금융지주를 통해 개인정보보호 배상책임보험에 가입한 것으로 확인됐다. 특약으로는 △신용정보 누출 손해 100억원 △신용정보 의무보험 확대보장 100억원 △위기관리 실행 5억원 등에 가입했다.
우리은행은 당초 국회에 개인정보보호 배상책임보험에 가입했으나 기본 담보만 적용받고 있다고 보고했다. 이후 재확인 결과 지주사인 우리금융그룹 차원에서 개인정보보호 손해배상책임보험과 특약에 가입했다고 보고를 수정했다.
신한은행은 2023년까지 100억원이던 개인정보 유출 보장 한도를 지난해 200억원으로 상향했다. 고객정보 수 증가에 따른 강화된 정보관리 활동과 배상금액을 상향해야 한다는 내부검토 결과에 따른 결정이다. 이밖에 신용정보 누출 특약 (보장한도 200억원), 의무보험 확대 보장 특약(200억원), 과징금 특약(100억원), 위기관리 실행 비용 특약(5억원) 등에 가입했다.
NH농협은행 역시 200억원 보장 한도의 개인정보보호 배상책임보험에 가입하고 있다. 여기에 신용정보 유출 손해 보장(200억원), 위기관리 실행(5억원), 위기관리 컨설팅(5억원) 등의 특약 사항을 추가했다. 농협은행 관계자는 “정보보호 관련 시장동향을 지속 모니터링 하면서 배상금액이 과거 사례보다 더 높게 나올 상황 등 최악을 가정해 배상책임금액을 더 보수적으로 산정하고 가입했다”고 설명했다.
하나은행도 보장 한도 100억원의 개인정보보호 배상책임보험에 가입하고 특약 사항으로 신용정보 누출손해 보장 특약(100억원), 신용정보 의무보험 확대 보장 특약(100억원), 위기관리실행비용(5억원) 등을 더했다.
아울러 KB국민은행은 개인정보보호 배상책임보험 기본 보장한도 100억 외에 신용정보누출손해 특약(100억원), 의무보험 확대보장 특약(100억원), 위기관리실행비용 특약(5억원) 등에 가입한 상태다.
늘어나는 해킹 위험, 보험가입 의무 강화해야
시중은행을 향한 해킹 위험은 매년 늘어나는 추세다. 4대 은행(KB국민·하나·우리·신한은행)을 대상으로 한 사이버공격 시도는 2023년 42만7092건에서 2024년 107만1553건, 2025년 상반기에만 126만8851건으로 증가했다. 불과 3년 만에 세 배 이상 불어난 셈이다. 실제 올해 iM뱅크(2월)와 한국스탠다드차타드은행(5월)에서 사고가 발생하기도 했다.
박정현 의원은 “만반의 대비를 하더라도 개인정보유출 사고는 일어날 수 있는 만큼, 관계당국은 서둘러 관련 보장 내용에 대해서도 보다 촘촘하게 가이드라인을 제시해야 한다”고 강조했다.
일각에서는 사고 발생 이후 배상에만 초점을 맞춘 기존 보험 체계의 한계가 뚜렷해 사고 예방과 대응을 종합적으로 관리하는 ‘사이버보험’ 활성화가 필요하다고 조언한다. AXA XL, Chubb, AIG 등 해외 보험사들은 단순 보상에 더해 사전 보안 평가나 사후 법무·언론 대응 서비스 등을 패키지로 제공하고 있다.
정광민 포항공대 산업경영공학과 교수는 “사고 이후 보상만 다루는 담보 중심 접근을 넘어, 보안 역량을 사전에 점검·강화하는 통합적 사이버보험이 중요하다”며 “아무리 보안 수준이 높아도 보통 공격 기술이 방어 기술보다 우수한 경우가 많기 때문”이라고 말했다. 그러면서 “금융회사들이 통합형 사이버보험 가입을 검토하고, 자체 보안 역량 강화와 CISO(최고정보보호책임자) 권한 확대에 나설 필요가 있다”고 조언했다.
