최근 쿠팡을 비롯해 대규모 고객 개인정보 유출 사고를 일으킨 대기업 대부분이 구제책인 '개인정보유출 배상보험'을 법정 최소 보장 한도 수준으로만 가입해 왔다는 사실이 확인됐다.

8일 손해보험업계에 따르면 쿠팡은 메리츠화재의 개인정보유출 배상책임보험에 가입한 상태이지만, 보장 한도는 단 10억 원에 그친 것으로 알려졌다. 이번 정보 유출 사고에서 쿠팡의 배상 책임이 인정되더라도, 보험으로 보상받을 수 있는 최대 금액이 10억 원이라는 의미다.

현행 개인정보보호법은 일정 규모 이상 기업의 개인정보 유출 사고에 대비해 보험 가입을 의무화하고 있지만, 업계에선 기업 규모와 위험 수준에 비해 최소 가입 한도가 다소 낮다는 견해가 지속해서 제기되고 있다. 예컨대 정보 주체 100만 명 이상, 매출 800억 원 초과 구간의 대기업 역시 보험 최소 가입 한도는 10억 원에 불과하다.

지난 11월 쿠팡 측 신고로 공개된 개인정보 유출 범위엔 약 3,370만 개 계정의 주문자 이름과 연락처, 배송지 주소지 등이 포함된 것으로 조사됐다. 올 11월 쿠팡 모바일 앱의 월간활성이용자(MAU)가 3,440만 명을 웃돈다는 사실을 고려하면, 사실상 전체에 가까운 고객 개인정보가 외부로 흘러 나간 셈이다.

앞서 2,300만 명의 개인정보 유출 사고로 홍역을 치른 SK텔레콤 역시 현대해상의 개인정보 유출 배상책임보험에 가입했지만, 보장 한도는 쿠팡과 동일한 10억 원 수준으로 확인됐다. 이처럼 피해 규모에 걸맞지 않은 최소 가입 한도는 기업이 실질적인 배상 여력을 갖추기 어렵다는 지적으로 이어지는 상황이다.

또한, 제한된 보험 한도가 사고를 일으킨 기업이 배상을 회피하거나, 의도적으로 지연하는 부작용이 발생한다는 불만도 나온다. 앞서 박대준 쿠팡 대표는 지난 3일 열린 국회 정무위원회 전체회의에서 피해자 보상과 관련한 질의에 "적극적으로 검토하겠다."라고 답변했으나, 쿠팡은 아직 보상과 관련한 움직임을 보이지 않고 있다.

SK텔레콤은 지난 4월 말 공개된 유심 정보 유출 사고에 대한 보상안을 확정하기까지 약 3개월이 걸렸고, 이어 9월 조사가 시작된 KT의 소액 결제 피해 사고는 아직 조사가 진행 중인 상황에 따라 피해자 보상 논의도 진척이 없는 상황이다.

여기에 쿠팡은 별도의 보상안은커녕 피해 가능성에 대한 설명도 제시하지 않았고, 고객 결제 정보와 해외 직구에 필요한 개인통관 고유부호는 유출되지 않았다는 내용만을 지난 몇 차례 공지에서 거듭 강조해 왔다. 다만 현재 이뤄지는 정부 조사 과정에서 쿠팡의 해명과는 다른 결과가 나올 가능성도 있다.

한편, 손해보험업계와 손보협회는 조만간 개인정보보호위원회에 대규모 정보 보유 기업의 최소 보험 가입 한도를 상향하는 방안을 건의하겠다는 방침이다. 예컨대 정보 주체 1,000만 명 이상 혹은 매출 10조 원을 초과하는 기업의 경우, 최소 가입 한도를 1,000억 원 규모로 높이는 내용이다.

더불어 보험 미가입 기업에 대한 과태료 부과 등, 적극적인 행정 조치의 필요성도 제기된다. 현행법에선 의무보험 미가입 기업에 시정조치 지시를 내린 뒤, 불이행할 경우 최대 3,000만 원의 과태료를 부과할 수 있도록 규정하고 있다. 그러나 개보위는 대상 기업 파악의 어려움을 이유로 실제 과태료를 처분하지 않은 것으로 알려졌다.