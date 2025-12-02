美 SEC 보안사고 공시 의무 어겨 과징금 부과 등 제재 가능성 높아 2018년 야후 3500만불 벌금 전례 주가 하락땐 투자자 반발 불 보듯

미국 증시에 상장한 쿠팡이 개인 정보 유출 관련 투자자 대상 공시를 내놓지 않은 것으로 확인됐다. 국내와 달리 미국증권거래위원회(SEC)는 사이버 보안 사고 관련 공시를 의무화하고 있다. 사이버 보안 사고가 발생한 쿠팡은 4영업일 내에 공시해야 하지만, 아직까지 관련 공시를 하지 않아 향후 SEC의 과징금 부과 등 제재가 내려질 수 있다. 향후 SEC 조사에 이어 주가 하락 등에 따라 미국 투자자의 집단소송 가능성까지 제기된다.

▶美 공시 의무 안 지켜…美까지 파장 확산=2일 SEC 등에 따르면 상장기업이 ‘중대한 사이버 보안 사고(material cybersecurity incident)’를 겪었을 경우 이를 4영업일 내에 공시해야 한다. 쿠팡은 이번 개인 정보 유출 관련 공시를 하지 않았다.

지난 2023년 7월부터 SEC는 상장기업에 보안 사고가 발생하면 새 항목인 8-K 아이템 1.05으로 공시하도록 했다. 이에 따라 기업은 사이버 사고를 ‘중대하다’고 판단하는 즉시 그리고 그 판단 후 4영업일 내에 해당 사고의 성격, 범위, 시점, 잠재적 영향 등을 8-K로 공시해야 한다.

쿠팡이 처음 개인정보 유출을 신고한 시점은 지난달 18일이다. 쿠팡은 지난달 18일 22시에 이를 인지, 다음날 정부에 신고했다.

SEC는 정기보고(10-K)에 사이버 리스크 관리 체계, 전략, 거버넌스 등에 관한 정보를 포함하도록 의무화했다. 쿠팡은 지난 2월 공시한 정기보고에선 “사이버보안 위협에 따른 위험이 사업전략, 영업실적, 재무상황 등에 중대하게(materially) 영향을 미치지 않았다”고 밝힌 바 있다. 하지만 이와 달리 대규모 정보유출이 발생하면서 향후 거센 논란이 예상된다.

쿠팡 측의 개인정보 유출 관련 공시 계획은 아직 알려지지 않은 것으로 전해졌다.

개인정보 유출은 SEC가 ‘중대한 정보’로 판단할 수 있는 사안으로 상장사가 공시를 지연하거나 누락할 경우 규제 리스크가 크게 확대된다. 미국에서는 사이버 보안 사고가 기업 가치와 투자자 판단에 직결되는 것으로 간주돼, 지연 공시만으로도 강한 제재가 내려진 사례가 적지 않다.

대표적으로 SEC는 2018년 야후가 5억명 규모의 고객정보가 유출된 사실을 2년 넘게 제대로 공시하지 않았다는 이유로 3500만 달러(한화 514억달러)의 벌금을 부과했다. SEC는 당시 “야후는 사이버 정보공개 의무 측면에서 통제 절차를 지키는 데 실패, 투자자들이 방대한 규모의 데이터 유출 사건을 전혀 파악하지 못하게 만들었다”고 밝혔다.

반면 국내에서는 사이버 보안 사고가 ‘투자자 공시’ 의무로 분류되어 있지 않다. 우리나라 자본시장법상 정기공시·수시공시 대상에는 해킹·정보 유출과 같은 보안 사고가 포함되지 않는다. 대신 기업은 개인정보보호법과 전기통신사업법에 따라 방송통신위원회나 개인정보보호위원회에 사고 사실을 신고하는 데에 그친다.

▶쿠팡 주가 5% 이상 급락…美 투자자 집단소송 우려도=쿠팡의 미국 주가도 직격탄을 맞았다. 뉴욕증권거래소(NYSE)에 상장된 쿠팡 주가는 국내에서 발생한 대규모 개인 정보 유출로 5%대 하락 마감했다. 이번 악재로 쿠팡은 공모가 회복도 한층 멀어질 전망이다.

1일(현지시간) 뉴욕증시에서 쿠팡은 전장 대비 1.52달러(5.38%) 내린 26.65달러로 마감했다. 올해 들어 26% 오르며 상승 흐름을 이어오던 주가도 제동 걸릴 전망이다.

쿠팡은 2021년 3월 12일 NYSE에 상장했다. 당시 쿠팡이 나스닥이 아닌 뉴욕증권거래소를 선택한 것은 더 많은 기관 투자자를 확보하고 상대적으로 상장 요건이 까다로운 시장에 입성함으로써 흑자 전환 가능성과 성장 전략에 대한 자신감을 드러낸 것이라는 해석이 있었다.

공모가 35달러로 상장한 쿠팡 Inc는 다음날 신고가인 50.45달러까지 치솟았지만 그해 9월부터 주가는 곤두박질 쳐 20달러선에 거래가 머물렀다. 지난해까지 ‘20달러’ 박스권을 못 벗어났다. 상장 이후 2022년까지 계획된 적자 기조 아래 물류센터 확장과 공격적인 투자를 지속했다.

대규모 물류 인프라 투자 효과가 가동률 상승과 규모의 경제로 이어졌고, 멤버십 등 수익성 높은 부문 비중이 확대되면서 손익도 빠르게 개선됐다. 2023년부터 본격적으로 이익을 기록, 이후 새벽 배송을 앞세워 국내 이커머스 시장에서 독주 체제를 굳혔다.

주가도 회복세를 보였다. 연초 22.29달러였던 쿠팡 주가는 지난달 약 4년 7개월 만에 30달러선을 돌파했다. 한국 외 대만 및 일본 사업 진출도 확대되면서 글로벌 투자자들의 관심을 받았다. 모건스탠리와 맥쿼리는 대만 사업 모멘텀과 신선·풀필먼트 부문의 성장세를 근거로 목표주가를 35달러까지 높였다. 쿠팡 주가는 지난달 28일 기준 연초 대비 26.33%까지 오르며 회복세를 보였으나 이번 보안 사고로 다시 역풍을 맞았다.

향후 주가 전망도 부정적이다. 워낙 대규모 피해가 발생한 탓에 그에 따른 비용 지출이 얼마나 될지 예측하기 힘들다. 여기에 미 SEC 조사나 투자자 집단소송 등까지 이어지면 악재는 더 확산될 조짐이다.

블룸버그통신은 “한국의 최대 전자상거래 업체인 쿠팡에서 발생한 대규모 정보 유출은 올해 한국에서 보고된 온라인 정보 유출 사고 중 최대 규모”라며 “한국의 사이버 보안 취약성을 여실히 드러낸다”고 보도했다.

투자 전문 매체 배런스도 “이번 유출은 미국에 본사를 두고 있지만 한국에서 대부분의 사업을 하는 쿠팡에는 난처한 일”이라며 “한국에서 이 회사의 전자상거래 지배력은 종종 다른 시장에서 아마존닷컴의 위치와 비교된다”고 전했다. 신주희 기자