대규모 개인정보 유출 사태로 미국 나스닥 시장에 직상장된 쿠팡에 미 증권거래위원회(SEC)가 공시의무 위반으로 제재할지 주목된다. 미국은 중대한 해킹사고를 인지한 지 4영업일 이내에 공시해야 한다. 다만 ‘중대성’의 기준을 기업이 우선 판단해야 하기 때문에 제재를 받기는 쉽지 않을 것이라는 전망이 나온다. 쿠팡 사태 이후 국내에서도 해킹 사고 관련한 공시가 의무화되어야 한다는 지적도 나온다.

쿠팡은 지난달 18일 4500명의 개인정보 유출을 인지하고 당국에 신고했다. 3370만명 유출 사고는 지난달 29일 신고했다. 그러나 쿠팡은 사고를 처음 인지하고 4영업일이 지났음에도 공시를 하지 않았다. 이때문에 미국 SEC 관련 규정을 어긴 게 아니냐는 지적이 나온다.

미국 증시에 상장된 회사는 ‘중대한 사이버 사고’ 발생을 인지한 경우 4영업일 이내에 공시해야 한다. SEC는 2023년 12월부터 이 규정을 적용하고 있다. 상장사는 한국의 수시 보고서에 해당하는 현행보고서(8-K)와 분기보고서와 연간보고서에도 반영해야 한다.

경향신문이 2010년대 이후 개인정보 유출사태가 발생한 미국 주요기업에 대한 SEC의 제재를 분석한 결과, SEC는 적시 공시의무 위반, 허위공시, 내부 통제 부실을 근거로 제재했다.

2014년 러시아 해커로부터 수억명의 개인정보가 유출된 포털사이트 야후의 경우 해킹 사고를 인지했는데도 2년간 공시하지 않았다. 분기·연간보고서엔 해킹사고가 발생할 ‘가능성’이 있다고 허위 공시했다. 2018년 벌금 3500만달러(약 514억원)으로 SEC와 합의했다.

대학 교과서 출판사로 유명한 피어슨도 허위 공시 등으로 SEC와 합의해 100만달러(약 15억원)의 벌금을 냈다. 2018년 수백만건의 학생의 생년월일 이메일 주소가 유출됐던 피어슨은 이듬해에야 뒤늦게 유출 내용을 발표했다. 클라우드 업체 블랙바우드(Blackbaud)의 경우 2020년 보안담당자가 해킹 사실을 인지했지만, 이를 고위 경영진에 전달하지 않아 허위 공시했다. 블랙바우드는 허위 공시와 내부통제 부실을 근거로 SEC에 300만달러의 벌금을 냈다.

제재를 가르는 또다른 기준은 ‘중대성’ 여부다. SEC는 모든 해킹사고를 고시하는 것이 아닌 기업이 판단한 ‘주요 사고’만 공시하라는 입장이다. 지난해 SEC는 추가 설명 자료를 통해 “사이버보안 사고가 등록 기업의 사업에 재정적, 평판적 또는 기타 측면에서 중대한 영향을 미칠 경우, 기업은 중요성 판단 후 4영업일 이내에 8-K를 제출해야 한다”고 밝혔다.

과거 사례를 볼 때 쿠팡이 개인정부 유출을 묵인하거나 고의적으로 공시를 미룬 정황이 나와야 하는 셈이다. 또한 지난달 18일 쿠팡이 4500여명의 개인정보 유출만 인지했다고 밝힌 만큼 ‘중대성’이라는 측면에선 의무공시 대상으로 판단하긴 모호한 상황이다.

다만 ‘쿠팡 사태’ 이후 한국에도 사이버 보안 침해 사고 발생시 투자자에 공시할 의무를 부여해야 한다는 지적이 나온다. 해킹 여부가 ESG 평가에 해당되는 데다, 기업경영과 주가에 영향이 크다는 차원에서다.

류영재 서스틴베스트 대표는 “결국 SK텔레콤도 해킹으로 1300억원의 과징금을 부과받은 만큼 해킹이 재무적인 영향으로 연결되는 것”이라며 “정보보안 역시 ESG에 해당돼 평가지표에 포함되는 만큼 정보를 공개할 수 있도록 의무공시화 해야 한다”고 말했다.