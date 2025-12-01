SEC, 중대 사이버 보안 사고 4영업일 내 공시해야 “투자자 판단에 직결” SEC, 2018년 야후에 벌금

[헤럴드경제=신주희 기자] 미국 증시에 상장한 쿠팡이 개인 정보 유출 관련 투자자 대상 공시를 내놓지 않은 것으로 확인됐다. 국내와 달리 미국증권거래위원회(SEC)는 사이버 보안 사고 관련 공시를 의무화하고 있다.

사이버 보안 사고가 발생한 쿠팡은 4영업일 내에 공시해야 하지만, 아직까지 관련 공시를 하지 않아 향후 SEC의 과징금 부과 등 제재가 내려질 수 있다. 앞서 야후는 2018년 고객정보 유출을 제대로 공시하지 않았다는 이유로 3500만달러(한화 514억원)가 부과됐다.

1일 SEC에 따르면 상장기업이 ‘중대한 사이버 보안 사고(material cybersecurity incident)’를 겪었을 경우 이를 4영업일 내에 공시해야 한다. 쿠팡은 이번 개인 정보 유출 관련 공시를 하지 않았다.

지난 2023년 7월부터 SEC는 상장기업에 보안 사고가 발생하면 새 항목인 8-K 아이템 1.05으로 공시하도록 했다. 이에 따라 기업은 사이버 사고를 ‘중대하다’고 판단하는 즉시 그리고 그 판단 후 4영업일 내에 해당 사고의 성격, 범위, 시점, 잠재적 영향 등을 8-K로 공시해야 한다.

쿠팡이 처음 개인정보 유출을 신고한 시점은 지난달 18일이다. 쿠팡은 지난달 18일 22시에 이를 인지, 다음날 정부에 신고했다.

SEC는 정기보고(10-K)에 사이버 리스크 관리 체계, 전략, 거버넌스 등에 관한 정보를 포함하도록 의무화했다. 쿠팡은 지난 2월 공시한 정기보고에선 “사이버보안 위협에 따른 위험이 사업전략, 영업실적, 재무상황 등에 중대하게(materially) 영향을 미치지 않았다”고 밝힌 바 있다. 하지만 이와 달리 대규모 정보유출이 발생하면서 향후 거센 논란이 예상된다.

쿠팡 측의 개인정보 유출 관련 공시 계획은 아직 알려지지 않은 것으로 전해졌다.

개인정보 유출은 SEC가 ‘중대한 정보’로 판단할 수 있는 사안으로 상장사가 공시를 지연하거나 누락할 경우 규제 리스크가 크게 확대된다. 미국에서는 사이버 보안 사고가 기업 가치와 투자자 판단에 직결되는 것으로 간주돼, 지연 공시만으로도 강한 제재가 내려진 사례가 적지 않다.

대표적으로 SEC는 2018년 야후가 5억명 규모의 고객정보가 유출된 사실을 2년 넘게 제대로 공시하지 않았다는 이유로 3500만 달러(한화 514억달러)의 벌금을 부과했다. SEC는 당시 “야후는 사이버 정보공개 의무 측면에서 통제 절차를 지키는 데 실패, 투자자들이 방대한 규모의 데이터 유출 사건을 전혀 파악하지 못하게 만들었다”고 밝혔다.

반면 국내에서는 사이버 보안 사고가 ‘투자자 공시’ 의무로 분류되어 있지 않다. 우리나라 자본시장법상 정기공시·수시공시 대상에는 해킹·정보 유출과 같은 보안 사고가 포함되지 않는다. 대신 기업은 개인정보보호법과 전기통신사업법에 따라 방송통신위원회나 개인정보보호위원회에 사고 사실을 신고하는 데에 그친다.