높은 사고위험 속에 보험요율 산정 주먹구구…전문적 위험평가 필요성 대두
인터넷데이터센터(IDC) 정전사고, 증권전산망 불통, 정보시스템 보안사고 등 정보시스템 안전사고가 끊이지 않으면서 정보기술(IT) 관련 보험상품이 등장하고 있다.
인터넷 트레이딩이 증가하면서 지난해 증권사들이 가입 물꼬를 트더니, 올초부터는 보안 전문 회사들이 주요 고객으로 떠올랐다.
요즘에는 대량 서버를 관리하는 IDC들이 관심을 기울이고 있다.
그러나 정작 일반 기업들은 선뜻 보험에 가입하지 못하고 있다.
높은 보험요율 때문이다.
일반 화재보험의 보험요율이 0.1% 미만인 데 비해 IT 관련 보험의 보험요율은 5% 미만에서 정해지고 있다.



사이버패트롤, 위험평가로 보험요율 15% 낮춰 보험요율이 이렇게 높은 데는 몇가지 이유가 있다.
우선 IT 산업 자체가 새로운 분야여서 위험발생 가능성을 제대로 파악하기 힘들다는 것이 보험사들 설명이다.
보험요율은 통계에 의한 확률로 산정되는데 기본적인 통계자료가 부족해 일단 높은 수준으로 갈 수밖에 없다는 것이다.
보험요율이 체계적으로 산정되지 않는 것도 요율을 높게 만드는 요인으로 꼽힌다.
보험요율은 보험사의 보험사인 재보험사에서 정하도록 되어 있다.
국내에서는 대한재보험이 그 일을 맡고 있다.
보험상품을 해외 재보험사와 함께 개발할 때는 해외 재보험사에서 보험요율을 정한다.
대한재보험이 해외 재보험사와 다시 계약을 맺어 보험요율을 정하기도 한다.
그런데 해외 재보험사는 국내 IT 산업을 충분히 알지 못해 보험요율을 높게 매긴다는 것이다.
대한재보험도 체계적으로 보험요율을 산정할 기준이 없어 기업의 매출규모나 인원 수 정도를 갖고 보험요율을 산정하고 있다.
보안 등 전문적인 관점에서 위험수준을 파악하지 못하고 있는 것이다.
이 때문에 전문적인 위험평가(Risk Assessment) 작업이 필요하다는 지적이 제기되고 있다.
화재보험사가 기업을 고객으로 받을 때는 그 기업이 소방시설을 얼마나 갖추고 있는지, 소화전은 얼마나 갖고 있는지, 소방훈련은 얼마나 되어 있는지를 직접 조사하는 것이 필수적이다.
이와 같이 IT 보험에 들게 할 때에도 방화벽, 운영, 암호화, 보안 서비스 등 기업의 전산보안 정도를 파악해 보험요율 산정에 반영해야 한다는 것이다.
최근 사이버패트롤이 삼성화재, 동부화재와 함께 국내에서는 처음으로 이런 작업을 수행해 눈길을 끌고 있다.
한 인터넷 뱅킹 회사는 사이버패트롤의 위험평가 작업을 통해 보험요율을 15% 정도 낮추기도 했다.
사이버패트롤 오자영 과장은 “위험평가를 한다고 무조건 보험요율을 낮출 수는 없지만 실태를 분석해주기 때문에 사고를 예방할 수 있다는 장점이 있다”며 “위험평가 작업을 했다는 것 자체가 보험요율을 정하는 데 긍정적으로 작용한다”고 말했다.
보험요율을 합리적으로 산정하기 위해서는 공신력 있는 위험평가 기관이나 기준이 있어야 한다고 전문가들은 입을 모은다.
물론 여기에도 문제는 있다.
위험평가를 누구의 비용으로 하느냐는 것이다.
삼성화재 김현태 과장은 “IBM이나 hp 같은 대형 IT 회사는 계약자 부담으로 이런 작업을 하는데, 국내 IT 업체들은 아직 영세하다 보니 이런 부담을 감수하려 하지 않는다”고 말한다.
전문가들은 보안이든 보험이든 잠재된 위험을 예방하기 위해서는 돈을 아끼지 말아야 한다고 강조한다.
호미로 막을 일을 가래로 막게 되는 상황이 올 수도 있기 때문이다.
첨단 시스템을 갖추는 것만큼 그것을 운영하는 마인드도 첨단이 되어야 한다는 것을 이제 기업들이 깨달아야 할 시점이라고 지적한다.