[지디넷코리아]
속도의 상징, 자본시장의 시계를 놓쳐
속도의 상징인 쿠팡이 사고를 알리는 속도에서는 자본시장의 시계를 놓쳤다. 개인정보 유출 사고를 둘러싸고 국내에서는 행정 제재와 소비자 집단소송이 이어지고 있지만 더 큰 파장은 태평양 건너 미국에서 시작됐다. 미국 주주들이 쿠팡 Inc.를 상대로 증권법 위반 소송을 제기했기 때문이다. 쟁점은 쿠팡이 2025년 11월 18일 개인정보 유출 사실을 인지하고도 미국 증권거래위원회(SEC)가 정한 ‘4 영업일 이내 공시’ 의무를 이행하지 않았다는 데 있다. 이 공백 기간 동안 주가는 하락했고 그 손실이 투자자들에게 전가됐다는 주장이다.
공시, 기업 투명성의 척도
이 사건은 우리에게 낯선 질문을 던진다. “공시가 그렇게까지 중요한 문제인가?” 한국에서 개인정보 유출은 주로 과징금이나 행정 제재, 소비자 손해배상의 영역이다. 그러나 미국 자본시장에서 공시는 단순한 알림이 아니다. 기업과 투자자 사이의 신뢰를 측정하고 지탱하는 핵심 척도이다. 기업 내용 공시제도의 본질은 상장회사가 투자 판단에 중대한 정보를 시장에 적시에 공개하도록 강제하는 데 있다. 투자자는 그 정보에 기초해 자유롭게 판단하고 책임을 진다. 공시는 자본시장의 투명성을 확보하고 자기책임의 시장 질서를 가능하게 하는 최소한의 장치다.
사이버 사고, ‘중대한 경영 사건’으로 격상
왜 보안 사고가 이토록 중요해졌을까. 데이터가 곧 기업 가치로 직결되는 시대이기 때문이다. 이제 사이버보안 사고는 단순한 기술적 결함을 넘어 기업의 신뢰와 지속 가능성을 직접적으로 흔드는 구조적 경영 리스크로 격상되었다. 정보 비대칭이 커질수록 기업 내부의 위험은 외부에서 정확히 평가되기 어려워지고, 그 부담은 결국 왜곡된 투자 판단과 시장 불안정성으로 이어진다. 이러한 인식 속에서 미국 자본시장은 사이버 사고를 점차 투자 판단에 중요한 정보로 다루기 시작했다.
이에 따라, 미국은 2023년부터 중대한 사이버보안 사고를 인수합병이나 파산과 같은 중대한 경영 사건으로 분류하고, 상장사에 대해 사고의 중대성(material)을 인지한 날로부터 4일 이내에 임시보고서(Form 8-K)를 통해 공시하도록 의무화했다. 더 나아가 정기 보고서를 통해 평상시의 보안 전략과 거버넌스 구조까지 투명하게 공개하도록 요구한다. 반면 한국은 사이버보안 사고를 정보통신망법과 개인정보 보호법 중심의 사후 규제 대상으로 다루고 있어, 사이버보안을 기업 가치와 직결된 경영 리스크로 보고 강제 공시와 거버넌스를 강화하는 미국·유럽 자본시장의 흐름과는 차이가 있다.
보안은 IT의 영역이 아닌 ‘경영 투명성’의 문제
쿠팡 사태는 단순한 개인정보 유출이나 데이터 국외 이전 논란을 넘어선다. 글로벌 플랫폼 기업이 어떤 기준으로 위험을 정의하고, 어떤 속도로 시장과 소통해야 하는가를 묻는 중대한 변곡점이다. 여기서 공시 의무 위반은 단순한 법규 위반에 그치지 않는다. 천문학적인 주주 집단소송과 경영진의 책임 문제로 직결되는 ‘구조적 경영 리스크’ 그 자체다. 이제 사이버보안은 IT 부서의 전유물이 아니다. 이사회와 경영진, 법무 조직이 함께 책임져야 할 경영 투명성의 영역이다. 우리 기업들은 과연 글로벌 자본시장이 요구하는 그 정교한 공시의 속도와 밀도를 감당할 준비가 되어 있는가.
‘로켓 배송’으로 혁신을 일궈낸 쿠팡이 이제 ‘적시 공시’의 부재라는 날 선 시험대에 올랐다. 이 사건은 단일 기업의 위기를 넘어 한국 기업들이 글로벌 시장의 규범과 현실을 얼마나 냉정하게 인식하고 있는지를 묻고 있다. 기술의 진보와 법과 책임 사이에서 이제 그 질문을 회피할 수 있는 시간은 끝났다.