쿠팡이 최근 발생한 고객 정보 유출과 관련해 미국 증권거래위원회(SEC)에 사건 발생 2주가 지나서야 뒤늦게 신고서를 제출한 것으로 확인됐다. SEC가 규정한 '4영업일 내 공시' 의무를 위반했다는 지적이다. 17일 업계에 따르면 쿠팡Inc는 15일(현지시간) SEC에 제출한 '중요 사건 신고서(Form 8-K)'를 통해 "전직 직원이 연루된 3300만건의 정보 유출 사건이 발생했음을 인지했다"고 공시했다. 쿠팡 측은 해당 공시에서 "이번 사태로 인해 한국 감독 당국으로부터 과징금 부과 등의 제재를 받을 가능성이 있다"고 명시했다.
문제는 공시 시점이다. SEC는 상장 기업이 사이버 보안 사고가 ‘중대하다(material)’고 판단한 경우, 해당 시점으로부터 4영업일 이내에 사고의 성격과 범위, 잠재적 영향 등을 공시하도록 의무화하고 있다. 그러나 쿠팡은 사건 발생 및 인지 시점으로부터 약 12영업일(약 2주)이 지난 시점에야 보고서를 제출했다.
사태의 여파에 대해서는 우려를 표했다. 쿠팡 측은 보고서를 통해 △경영진의 업무 집중도 분산 △잠재적인 매출 손실 △규제 기관의 벌금 및 소송 비용 증가 등으로 인한 재무적 손실 가능성을 인정했다.
미국 금융 당국은 투자자 보호를 위해 정보 은폐나 늑장 공시에 대해 엄격한 잣대를 들이댄다. 실제로 지난 2018년 야후는 2014년에 발생한 대규모 해킹 사실을 2년 뒤에야 공시했다는 이유로 SEC로부터 3500만달러(약 480억원)의 막대한 벌금을 부과받은 바 있다.
라현진 기자 raraland@hankyung.com
관련뉴스
