이석원 기자
미증권거래위원회 SEC가 7월 26일 기업이 심각한 사고로 판단되는 사이버 공격을 받으면 4영업일 이내에 이를 공개하는 걸 의무화하는 새로운 규칙 채택을 발표했다. 이 새로운 규칙은 투자자 보호를 더 강화할 것으로 기대된다.
SEC는 7월 26일 이를 공개하고 사이버 보안 리스크 관리, 전략, 거버넌스에 관한 중요한 정보를 매년 공개할 걸 등록 기업에 의무화하는 규칙을 채택했다고 발표했다. 미국 상장 기업은 인수나 임원 변경, 중요한 자산 취득 또는 매각, 파산 등 특별한 사건이 발생하면 이를 임시보고서(Form 8-K)에 기재해 공개할 의무가 있다.
이번 규칙 개정에선 심각하다고 판단한 사이버 보안 인시던트를 공개하기 위한 새로운 항목이 임시보고서에 추가되어 인시던트 성질이나 범위, 시기 이로 인한 중요한 영향에 대해 설명해야 한다.
제출 기한은 원칙적으로 4영업일 이내지만 사법장관에 의해 곧바로 공개되는 게 국가 안보 또는 공공 안전에 심각한 위험을 초래한다고 판단되면 공개가 연기될 수 있다. SEC 측은 발표에서 기업이 화재로 공장을 잃거나 사이버 보안 사고로 수백만 개 파일을 잃는 건 투자자에게 중요한 일이라고 생각한다며 지금도 많은 상장 기업이 사이버 보안에 관한 정보를 투자자에게 공개하고 있지만 이를 더 통일감 있고 비교 가능하며 의사 결정에 유용한 방법으로 이뤄지게 되면 투자자에게도 기업에게도 이익이 될 것이라고 밝혔다.
새로운 규칙은 또 연례보고서(Form 10-K)를 통해 사이버 보안 위협으로 인한 심각한 위험을 평가, 식별, 관리하는 절차와 과거 사이버 보안 사건으로 인한 위험 영향, 이런 판단을 실시하는 경영진 등에 대해서도 보고하는 게 포함됐다.
이 새로운 규칙이 제정된 배경에는 널리 사용되는 파일 전송 프로그램 무브잇(MOVEit)에 대해 러시아 사이버 범죄자가 실시한 소위 공급망 해킹 사건이 있다. 이 사건에선 많은 조직이 대규모 데이터 침해를 받았지만 공개가 느리게 진행되지 않았기 때문에 전반적인 파악에 시간이 걸린다.
신용등급기업 무디스 관계자는 이 규칙은 불투명하고 확대되는 리스크에 투명성을 가져 사이버 방어 개선에 박차를 가할 가능성이 있다고 밝혔다. 한편 반대파 공화당 의원은 성명에서 새로운 규칙은 SEC 권한을 넘어 재무적으로 중요한 정보를 요구하는 투자자 요구보다 해커 지망자 요구에 맞는 것 같다면서 보안 체제에 대한 과도한 공개에 의해 기업이 오히려 사이버 공격을 받기 쉬워져버리는 게 아니냐는 우려를 나타냈다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
정용환 기자
