미국 뉴욕증권거래소(NYSE)에 상장된 쿠팡이 3000만 명 이상의 개인정보가 유출되는 사상 초유의 사태를 겪으며 미국 증권거래위원회(SEC)의 강력한 제재 도마 위에 올랐다. 쿠팡은 본사가 미국에 위치한 상장사로서 미국 자본시장법의 엄격한 적용을 받는다. 이번 사태로 쿠팡의 기업 평판 하락은 물론 주가까지 폭락하면서 미국 내 주주들의 피해가 가시화된 가운데, "저승사자"로 불리는 SEC가 쿠팡에 대해 불성실 공시를 이유로 천문학적인 과징금을 부과할 수 있을지에 시장의 이목이 쏠리고 있다.

미국 SEC는 상장사가 투자자에게 중대한 영향을 미칠 수 있는 정보를 신속하고 정확하게 공개할 의무를 부여하고 있다. 과거 2014년 발생한 야후(Yahoo)의 5억 건 개인정보 유출 사건이 대표적인 선례다. 당시 야후는 해킹 사실을 인지하고도 2년 동안 이를 은폐하다 뒤늦게 공개했으나, SEC는 보안 사고를 즉시 알리지 않아 투자자들에게 막대한 손실을 입혔다는 판단하에 약 517억 원의 과징금을 부과했다. 이후 SEC는 사이버 보안 사고 발생 시 기업이 이를 인지한 날로부터 4영업일 이내에 사고의 성격, 범위, 재무적 영향 등을 구체적으로 공시해야 한다는 "최종 규칙(Final Rule)"을 제정해 공시 의무를 대폭 강화했다.

현재 쿠팡은 지난달 18일 첫 해킹 정황을 인지했음에도 불구하고, 한 달 가까이 지난 현재까지 미국 증시에서 관련 공시를 진행하지 않고 있다. 쿠팡 측은 사고에 대한 정확한 영향 평가가 마무리되지 않았으며, 이를 현시점에서 "중대한 사고"로 확정해 공시하기에는 이르다는 입장을 고수하고 있는 것으로 알려졌다. 이는 공시 의무를 회피하거나 늦추려는 의도로 풀이될 수 있어 향후 SEC와의 법적 공방에서 불리하게 작용할 소지가 크다.

SEC가 규정한 "중대성(Materiality)"의 기준은 단순히 직접적인 재무 손실에만 국한되지 않는다. SEC의 가이드라인에 따르면 기업의 평판 실추, 고객 신뢰 훼손, 그리고 이로 인한 향후 수익성 악화 가능성 등이 종합적으로 고려된다. 쿠팡의 경우 개인정보 유출 사실이 언론을 통해 대대적으로 보도된 이후 주가가 약 14%가량 급락했으며, 이는 투자자 가치가 훼손된 명백한 증거로 해석될 수 있다. 또한 한국 경찰의 수사와 정부 차원의 제재 절차가 시작된 점, 미국 내에서 주주들의 집단소송 움직임이 포착되고 있는 점 등은 이번 사태가 SEC가 규정한 중대한 사고에 해당할 가능성을 뒷받침한다.

미국 자본시장에서 불성실 공시에 대한 처벌 수위는 상상을 초월한다. 지난해 미국 상장사들이 공시 위반 등의 사유로 SEC로부터 부과받은 전체 과징금 규모는 약 11조 원에 달하는 것으로 집계되었다. 쿠팡이 이번 해킹 사고를 "중대한 사건"으로 판단하지 않고 공시를 지연시킨 행위가 의도적인 은폐나 부주의로 결론 날 경우, 과거 야후 사례를 훨씬 상회하는 수준의 과징금이 부과될 수 있다는 관측이 나온다.

결론적으로 쿠팡은 한국 내 행정처분과 별개로 미국 자본시장의 엄격한 공시 기준을 통과해야 하는 이중고에 처했다. 3000만 명의 개인정보 유출이라는 사안의 중대성과 주가 폭락이라는 실질적 피해가 발생한 상황에서, SEC가 쿠팡의 공시 지연을 어떻게 해석하느냐가 향후 기업 운명의 향방을 결정지을 핵심 변수가 될 전망이다. 미국 내 법률 전문가들은 쿠팡이 적기에 정보를 투명하게 공개하지 않은 점이 확정될 경우, SEC의 고강도 조사와 그에 따른 천문학적인 배상금 및 과징금 처분을 피하기 어려울 것으로 내다보고 있다.