각종 기업들의 대규모 개인정보 유출 사건이 이어지는 가운데 금융당국이 ‘사이버 리스크 스트레스 테스트’를 도입해 사이버 사고 충격을 정량적으로 관리해야 한다는 지적이 제기됐다.

8일 관련 업계에 따르면 정광민 포스텍 교수는 최근 보험연구원 KIRI리포트에 ‘대규모개인정보 유출 사고와 시스템적 사이버 리스크’ 주제의 보고서를 내놓고 이같이 밝혔다.

코로나 19 이후 디지털 전환이 속도를 내고 있다. 특히 인공지능에 대한 관심이 늘면서 사회 전반의 디지털화가 속도를 내고 있는 가운데 자연어 언어모델(LLM) 기반 사이버 공격이 늘고 있다. 사실상 산업 전방에서 사이버 리스크가 크게 증가한 셈이다. 최근 발생한 대규모 개인정보 유출사고는 정보통신·디지털플랫폼 등 사실상 ‘사회인프라적 지위’를 가진 기업에서 발생했다.

정 교수는 “이들의 보안 실패가 전산업·금융·사회로 확산되는 새로운 ‘시스템적 사이버 리스크’임을 보여준 것”이라며 “금융시스템의 시스템 리스크와 유사한 구조적 충격을 초래할 수 있다”고 강조했다.

최근 쿠팡의 개인정보 침해 사건의 경우 관계 당국의 조사가 이어지고 있지만 금융권과 관세, 물류 등 각종 산업에 여파가 미치고 있다.

각종 사이버 보험이 등장했지만 시장은 성장하지 못하고 있다. 각종 정보침해 등 사이버리스크로 인해 전 세계적으로 사이버보험 수요는 늘었다. 하지만 보험산업의 역량은 그대로다.

한국의 경우 개인정보 유출 과징금은 큰 데 배상책임액이 낮기 때문이다. 기업의 민사리스크가 제한적이다. 결국 기업들이 사이버보험 가입을 하지 않는 구조적 문제가 존재한다.

정 교수는 “사이버 리스크 스트레스 테스트로 금융기관의 시스템 취약성 평가 및 사이버사고 충격을 정량적 관리 등을 할 수 있다”며 “기업은 전사적 리스크 관리 체계를 강화하고 보험회사는 보안과 심사 전문성 확보, 정부는 공시 및 징벌적 배상 등을 구축하는 게 필수”라고 덧붙였다.

오승완 기자 osw@naeil.com