침체된 한국 사이버 보험 시장, 왜? 어떻게?

GDP 수준에 비해 한국 사이버 보험 시장 규모가 현저히 낮은 것으로 나타났다. 국회입법조사처가 발행한 ‘이슈와 논점’에 의하면 세계 사이버 보험 시장에서 한국이 차지하고 있는 비율은 0.004%에 불과하다고 한다. 액수로 따지면 약 300만 달러 수준인데, 같은 아시아의 일본이 1.96억 달러, 호주가 4.76억 달러라는 사실과 크게 대조된다. 호주의 경우 명목 GDP가 한국보다 낮은 나라다. 세계 전체 사이버 보안 시장 규모는 2025년 기준 196억 달러로 집계된다.

한국 사이버 보험 시장 현황

사이버 보험 시장 규모가 작다는 건 보험 상품과 가입자 모두가 부족하다는 의미다. 국회입법조사처가 조사한 바에 따르면 국내에서 사이버 보험을 판매하고 있는 업체는 16곳이라고 한다. 2024년 기준 이 기업들의 보험 보유 계약 건수는 총 2만 2599건이었다. 숫자만 보면 잘 감이 오지 않는데, “의무 보험 가입 대상 기업만 가입하고 있다”고 요약이 가능하다. 사이버 보험에 꼭 가입해야만 하는 경우가 아니라면 시장성이 아예 없다고 해도 무방하다는 뜻이다. “국내 기업 중 사이버 보험이 있다는 걸 알고 있는 곳은 16.1%, 그 중 가입 경험이 한 번이라도 있는 곳은 7.4%에 불과합니다.”

법에서 지정한 의무가 아니라면 사이버 보험에 대해 관심조차 가지지 않고 있는 건 왜일까? 대부분 기업들이 사이버 리스크를 제대로 체감하지 못하고 있어서다. 보고서에 따르면 “사이버 리스크에 대한 수요자의 인식이 낮아 침해 사고를 추상적 위험으로 간주한다”고 한다. 이는 사이버 보안 업계가 꾸준히 지적해 온 것과 같은 내용이다. 직접 당해보기 전까지는 해킹 공격 혹은 사이버 사건에 대한 위험성을 이해하지 못하는 게 대부분이며, 그래서 보안 담당자들은 예산 확보에 큰 어려움을 겪는다.

사이버 리스크를 이해한다고 해서 곧바로 보험 가입으로 이어지는 것도 아니다. 한 가지 허들을 더 넘어야 하는데, 바로 사이버 보험 상품에 대한 신뢰도다. 자동차 사고나 의료 관련 보험 상품들의 경우 역사와 전통을 자랑하는데, 그렇다는 건 위험에 대한 평가 체계가 자리를 잡았다는 의미가 된다. 하지만 사이버 위협의 경우, 아직까지도 위험 평가의 기준이 뚜렷하지 않다. 기존 계리적 기법으로는 사이버 리스크를 예측하고 가격화 하는 것에 한계가 있다는 게 보험 업계의 정설이며, 이 때문에 보험사들이 사이버 보험 제품을 적극 개발하거나 판매하고 있지 않다.

상황이 이렇다 보니 한국 시장 내 사이버 보험 상품은 양적으로나 질적으로나 크게 뒤떨어지는 모습을 보여준다. 국회입법조사처에 의하면 “국내 상품은 데이터 복구 비용, 개인정보 유출과 해킹으로 인한 배상 책임 등 기본적인 손해만을 담보하고 있다”고 한다. 여러 유형의 사이버 공격에 대한 다양한 보장 방안이 마련된 해외와는 다르다. 해외의 경우 사이버 사건으로 인해 사업 활동이 중단된 시간에 대한 보상, 사이버 범죄자들과의 협상과 관련된 보상, 심지어 서드파티 업체들 때문에 발생한 사건에 대한 보상, 각종 벌금과 미디어 노출로 인한 부정적 이미지 형성에 대한 보상까지 상품화시키고 있어서 대조적이다.

사이버 보험 시장, 왜 확장되어야 하는가?

사이버 보험 상품도 결국 시장 내 수많은 재화/서비스/아이템 중 하나이고, 지금 시장이 커지지 않고 있다면 자본주의의 원리에 의해 그런 것이니 국가가 나서서 육성을 도모해야 할 필요는 없다는 주장도 존재한다. 스스로 그 길을 택한 것이지, 누가 칼 들고 보험 회사 차리라고 협박했냐는 것이다. 하지만 수요와 공급이라는 시장 원리로 단순 도식화해서 이 시장을 바라보는 것에는 무리가 있다. 사이버 리스크라는 것이 너무나 치명적일 수 있어 국가 기반 자체를 흔들리게도 하기 때문이다. 

보험 산업 자체가 결국 ‘리스크 분배’라는 기능을 담당하기 때문에 어느 정도는 ‘국가 기반 시설’로 취급되기도 한다는 걸 생각해야 한다. 한 기업이 어떤 위험 요소 때문에 도산하면, 당연히 그 기업에 있던 임직원들이 손해를 감당해야 하지만 그런 기업이 매일 수백 개씩 나오면 어떨까? 개인의 책임이나 손해를 넘어 사회 전반과 경제 전체가 뒤흔들릴 수 있다. 그 기업들이 보험이라는 최소한의 안전장치를 마련했다면 그런 국가적 위기를 어느 정도 감소시킬 수 있다. 그래서 경우에 따라 보험 가입이 의무 조항으로 규정되기도 하는 것이다.

현대 사회에서 사이버 리스크는 자연 재해로 비유되기까지 한다. 많은 사용자들이 추상적인 위험으로 간주하지만, 한 번 당하는 것만으로도 기업이 사라지기도 한다. 영국의 158년 된 운송회사 KNP가 좋은 예다. 이 오래된 중견 회사는 비밀번호 하나 약하게 설정했다가 역사 속으로 사라졌다. 이게 ‘운이 나빴던 먼 나라 기업 이야기’가 아닌 것은, 비밀번호를 성의 없이 설정하는 임직원이 우리 주변에도 여럿 존재하기 때문이다. 내 차례가 아니었을 뿐, 내게 일어났어야 할 일이나 다름 없는 사건이었다.

한국은 ICT 환경이 특히 잘 발달한 나라이기 때문에 사이버 보험 시장 규모가 수준 미달이라는 건 사회 전제척으로 우려할 만한 일이 된다. “한국은 ICT 보급률에 있어서 세계 수위권을 다툽니다. ICT 인프라를 통해 이뤄진다는 특성을 가진 사이버 공격이 한국에서 더욱 활성화될 수 있다는 의미입니다. 사이버 리스크를 국가 전체적으로 관리할 필요가 있으며, 그런 차원에서 사이버 보험 산업을 활성화시켜야 합니다.” 보고서에 나온 내용이다.

어떤 방법 모색되고 있나

국회입법조사처는 정부가 정책적으로 지원해야 한다고 주장한다. 특히 최저보험금액이 현실을 반영하지 못하고 있다고 지적하고 있다. “매출액 100억원 이상은 10억원을, 10억에서 100억원 사이라면 1억원을, 10억 미만이라면 5천만원을 최저보험금액으로 써야 합니다. 하지만 사이버 보안 사고로 인한 손해 규모와, 사이버 보안 사고 발생 빈도를 고려했을 때 이는 터무니 없이 부족한 액수입니다. 이를 상향시켜야 보험 가입에 의미가 생기고, 그로 인한 리스크 관리에도 실효성이 덧붙습니다.”

또 모든 기업을 강제로 사이버 보험에 가입시킬 수 없으니 ‘회유책’을 적극 활용해야 한다는 것도 이번 보고서에 언급됐다. 보험 가입 시 세제 혜택을 준다거나 보조금을 지원해야 한다는 내용이다. “이는 해외에서도 사이버 보험 시장 활성화를 위해 취한 방법이기도 합니다.” 아예 보험 의무 가입 대상자를 확대시키는 것도 방법일 수 있다고 보고서는 주장한다. 일본 지진 보험과 비슷하게 국가가 직접 보험을 제공하는 방법도 제안됐다.

기업과 기관 간 공유 체계를 구축하는 것도 중요하다고 보고서는 짚고 있다. “기업들은 평판 손실 등을 우려해 사고 사실을 알리지 않으려 합니다. 알린다 해도 구체적인 내용은 숨기죠. 그러니 공격자들이 어떤 기술력을 가지고 있고, 어떤 방법을 적극 사용하는 편이라는 게 공유되지 않습니다. 이런 데이터 없이 위험을 평가하고 보험료를 책정하게 되는데, 이는 곧 보험 상품에 대한 신뢰도 하락으로 이어질 수밖에 없습니다. 사이버 리스크를 정확히 평가하려면 공격 데이터가 적극 공유돼야 합니다.”

이것과 이어지는 이야기는 ‘보험 상품의 표준화’다. “지금은 회사와 상품마다 피해 범위나 보상안이 다르게 구성돼 있어 사용자들이 상호 비교 후 구매를 결정하는 게 어렵습니다. 보험사는 보험 계약자가 평상시 사이버 리스크 경감부터 사고 발생 후 대응에 이르기까지 체계적인 위험 관리 시스템을 구축할 수 있도록 상품을 설계하고 리스크 평가 구조를 단순화 하여 계약자의 이해도를 높여야 합니다.”

해외 보험이라고 다 좋은 건 아냐

한국 시장의 규모가 워낙 작아서 생기는 문제들이 지적되기는 했지만, 그렇다고 해서 해외 보험 시장이 성숙하게 무르익은 건 아니다. 특히 보험금 지급과 관련해서 늑장을 부리거나, 다양한 논리를 펼쳐 지급을 거부하는 행위들이 널리 알려지면서 사이버 보험 상품 가입 자체를 회의적으로 느끼기 시작한 기업들이 많아지기도 했다. 

이런 부정적 흐름의 시작은 ‘낫페트야 사건’이었다. ‘낫페트야(NotPetya)’는 2017년에 등장한 멀웨어로, 처음에는 페트야(Petya)라는 이름의 랜섬웨어처럼 보였다. 하지만 추적 후 알고 보니 이는 랜섬웨어인 척 했던 ‘와이퍼’ 즉 데이터 삭제형 멀웨어였다. 그래서 낫페트야(페트야 아님)라는 이름이 붙은 것이다. 여기에 머스크(Maersk)나 머크(Merck)와 같은 대형 기업들이 당했다. 낫페트야가 전 세계 경제에 끼친 손해는 100억 달러 이상으로 추산된다.

낫페트야의 배후 세력에 대해서 아직 정확히 결론 지어진 건 없다. 하지만 보안 업계 종사자들은 러시아 정부 기관이 있을 거라고 보는 편이다. 낫페트야에 당한 기업들이 보험사에 보상금을 청구했는데, 에이스아메리칸(Ace American)이나 취리히(Zurich)와 같은 보험사들이 이를 거부했다. 러시아 정부 기관이 배후에서 진행한 공격, 즉 적국의 적대적 행위로 인한 결과라는 게 그 이유였다. 즉 사이버 사건이 아니라 전쟁 행위로 봐야 한다는 게 보험사들의 주장이었던 것이다. 전쟁 행위로 벌어진 일을, 왜 사이버 보험 상품을 기반으로 평가해 돈을 지불해야 하냐는 것이었다. 재판은 장기화 되다가 결국 비밀 합의로 결론났다.

뿐만 아니라 ‘랜섬웨어’를 어떻게 처리하느냐의 문제도 보험사들 간에 말이 많다. 악사(AXA) 등 유명 보험사들은 더 이상 랜섬웨어와 관련된 보험 상품을 판매하지 않을 것이라고 선언했는데, 그 이유는 “정부들이 랜섬웨어 공격자들과 협상하지 말라고 강력히 권고하고 있어 보험사들이 가질 수 있는 운신의 폭이 지나치게 좁고, 일반 사용자들이 보안 실천 사항을 지키지 않아 랜섬웨어에 감염되는 사례가 너무 많다”는 것이었다. 이런 보험사들의 움직임을 보험 가입자들은 비판하고 있으며, 사이버 보험 산업 자체에 대한 부정적 이미지가 쌓이고 있다.

Related Materials

• South Korea Rethinks Cyber Insurance as Attacks Surge: Hanwha·Samsung사례와 시장 현황 - Beemapost, 2025년
• New threats, new protection: Korea rethinks cyber insurance as hacking rocks major firms - The Korea Herald, 2025년
• Annual Report 2023-2024: Cyber Insurance (글로벌 사이버 보험 시장분석) - Insurance Europe, 2024년
• Cyber insurance coverage of OESs in the European Union 2023 - Statista, 2024년

158년 역사가 한 순간에 물거품...비밀번호가 진범

💡Editor’s Pick - 158년 된 영국 물류 회사, 랜섬웨어에 감염 - 감염 경로는 직원 한 명의 약한 비밀번호 - 결국 회사 문 닫고, 700명 직원 실업자 됨 158년이라는 유구한 전통을 자랑하는 운송 회사가 랜섬웨어 한 방에 무너졌다. 영국 노샘프턴셔에 본사를 두고 활동하고 있는 KNP라는 회사의 이야기다. 이 때문에 회사도 역사

The Tech EdgeJustAnotherEditor

[TE머묾] 100년 만에 개장한 센강에 보안이 풍덩

💡Editor’s Pick - 예방이 중요할까, 대처 능력이 중요할까? - 이 논제가 챗바퀴도는 것 자체가 보안의 정체성 - 세상에 ‘보안 일’ 아닌 게 없어 파리의 상징 중 하나인 센강이 100년 만에 개장했다. 너무 오염돼 시민들의 입수를 금지시킨 지 꼬박 한 세기가 지났다. 무려 100년이나 열심히 정화하고, 오염의 원인들을 걷어내, 드디어 수영할

The Tech EdgeJustAnotherEditor