최근 쿠팡에서 무려 3370만의 개인정보가 유출되었다는 소식이 전해졌죠.
쿠팡은 한국자회사를 통해 운영되고 있으나 미국에 상장되어 있는 상장회사이기 때문에 공시의무가 문제될 수 있습니다.
이에 비교적 최근에 도입된 사이버 보안사고 SEC 규칙에 대해 살펴보겠습니다.
BNL Law
>> Comprehensive Legal Services for Corporate Establishment in Korea and the USA: Investment Structure Advisory, Foreign Exchange Reporting, Document Preparation, Business Registration, Bank Account Setup, Licensing and Permits, and Practical Training fo
en.bnl.legal
상담신청: https://www.bnl.legal/contacts
기타문의: official@bnl.legal
Form 8-K (Item 1.05)
SEC가 2023. 7. 26. 채택한 사이버보안 규칙에 따라, 상장기업은 "중대한(material) 사이버보안 사고"가 발생한 경우 회사가 해당 사고가 중대한 것으로 판단한 날로부터 4영업일 이내에 이루어져야 합니다.
(참고: 이를 보고하는 서류가 Form 8-K (Item 1.05)인데, 이는 SEC가 2011년 해석지침(“2011 해석지침”), 그리고 2018년 Division of Corporation Finance(DCF)가 발표한 지침(“2018 DCF 직원 지침”)에서 다루었던 사이버보안 관련 개념을 성문화한 것입니다. 참고로 2018년 DCF직원 지침과 2011년 해석지침은 특정하고 상세한 공시 요구사항을 규정하지는 않았습니다.)
Materiality
위 규정에서 가장 중요한 요소는 사이버 보안 사고가 중대한 지 여부(Materiality) 입니다.
SEC는 미국 연방대법원의 중대성 정의와 일치하게, 다음의 경우 중대한(material) 것으로 간주됩니다.
- “합리적인 투자자가 투자 결정을 내리는 데 있어 그 정보를 중요하게 고려할 상당한 가능성이 있는 경우”, 또는
- 해당 정보가 “이용 가능한 전체 정보 구성(the total mix of information)을 의미 있게 변경할 경우”
회사는 모든 관련 요소를 평가하여 중대성 여부를 판단하여야 하고, 해당 평가는 재무 상태 및 운영 결과에 대한 영향에만 국한되어서는 안 되고, 양적 요소와 함께 질적 요소를 고려해야 합니다.
예를 들어, 등록회사가 데이터 침해 사고를 경험한 경우, 단기적 영향뿐만 아니라 장기적으로 재무상태, 운영, 재무성과, 브랜드 인지도, 고객 관계 등에 미치는 영향(정성적 요소)도 함께 고려해야 합니다.
쿠팡사건의 경우 3370만 여명의 대량의 개인정보가 유출되었고 이는 회사 고객의 대부분을 차지하기 때문에, 아무리 개인정보가 미국인들이 아닌 한국인들의 정보라고 하더라도, Materiality를 피해나가기는 어려울 것으로 판단됩니다.
(참고: Materiality가 인정되지 않는다고 하더라도 회사는 이를 자발적으로 공시할 수 있는데 이는 Form 8-K(Item 8.01)로 공시하게 됩니다.)
Materiality 판단 시점
회사는 "Materiality에 대한 판단이 이루어진 시점부터 4일 이내"에 공시를 하여야 하는데, 따라서 Materiality를 판단하는 시점이 중요합니다.
SEC는 중대성 판단 시점에 대한 명확한 기한 또는 절대적인 기준을 설정하지는 않고 있고, 다만 등록회사들이 중대성 판단을 지체 없이 수행할 수 있도록 충분한 공시 통제와 절차를 보유할 것을 요구하고 있습니다.
즉, 등록회사가 연례보고서(10-K)에 다음을 수행하기 위한 절차(processes)를 공시하도록 요구합니다.
- 사이버보안 위협으로부터의 중대한(material) 위험을 식별, 평가 및 관리하는 방법
- 이러한 절차가 투자자에게 정보 제공을 위해 적절히 이해될 수 있는 수준인지 여부
- 이사회의 감독 및 경영진의 역할 등
SEC는 이러한 절차를 통해 적정한 시점에 Materiality가 판단될 것이라고 보고 있습니다.
Coupang도 연례보고서에 사이버 위험관리 프레임워크 등 위 정보를 간략하게 공시하고 있습니다(Item 1C).
보고의 예외
다만, 미국 법무부(US Attorney General)가 그러한 공시가 국가안보 또는 공공안전에 "중대한 위험(substantial risk)"을 초래할 것이라고 결론내린 경우에는 공시를 지연시킬 수 있습니다.
위반 시 제재
SEC 공시규정을 위반할 경우 과태료(Civil penalities), 시정명령(cease-and-desist order), 공시통제개선명령(disclosure controls remediation) 등이 부과될 수 있습니다.
위 규정이 있기 전의 사례이기는 하지만, 2018년 Yahoo에 대해 대형 데이터 유출 사건을 수년간 공시하지 않았다는 이유로 $35M 달러의 벌금을 부과하였고, 2023년에는 랜섬웨어 공격에 대해 사건의 심각성과 데이터 유출범위를 축소 및 왜곡한 허위/부적절 공시였다는 이유로 $3M의 벌금을 부과한 적도 있습니다.
현재는 새롭게 명시적인 규정이 있는 상황이기 때문에 공시의무를 위반할 경우 명백한 위법으로 인정될 것입니다.
읽어주셔서 감사드립니다.
장건 변호사 올림
상담신청: https://www.bnl.legal/contacts
기타문의: official@bnl.legal
관련글: https://kunchang.tistory.com/90
미국 법인 주식 발행 시 등록의무 면제조항 정리
증권시장은 자본이 사회적으로 가장 효율적인 곳에 배분되는 역할을 담당합니다. 그런데 증권을 투자하는 투자자로서는 회사의 구체적인 상황을 전부 알 수 없기 때문에 증권시장에서는 회사
kunchang.tistory.com
https://kunchang.tistory.com/12
미국 증권법과 공시 및 등록의무
증권시장은 자본이 사회적으로 가장 효율적인 곳에 배분되는 역할을 담당합니다. 그런데 증권을 투자하는 투자자로서는 회사의 구체적인 상황을 전부 알 수 없기 때문에 증권시장에서는 회사
kunchang.tistory.com
'Road to GLOBAL' 카테고리의 다른 글
| CCPA/CPRA 상 Sensitive Information 관련 주요 규정 정리 (0) | 2026.01.04 |
|---|---|
| 미국 델라웨어 법인 해산 절차 (Dissolution) (0) | 2025.12.31 |
| 미국 직원 CIIAA 주요 조항 (Confidential Information and Inventions Assignment Agreement) (0) | 2025.12.04 |
| 미국 화장품 MoCRA와 미국 주소 (0) | 2025.11.13 |
| 미국 M&A시 HSR Filing 미국 반독점법 사전보고의무 (2025년 개정) (0) | 2025.10.29 |