 |
| 쿠팡이 미 증권거래위원회(SEC)에 제출한 공시. [SEC] |
[헤럴드경제=김유진 기자] 쿠팡이 약 3300만 명의 고객 정보와 관련된 대규모 보안 사고를 미국 금융당국에 공식 공시했다. 다만 미 증권거래위원회(SEC) 공시에서는 이번 사안을 정보 ‘유출’이 아닌 고객 계정에 대한 ‘무단 접근’으로 표현하며, 전직 직원이 관련 정보를 취득했을 가능성이 있다고 기재했다.
미 SEC 공시에 따르면 쿠팡 지주사인 쿠팡 Inc.는 지난 15일(현지시간) 이번 사이버 보안 사고와 관련해 8-K 보고서를 제출했다. 쿠팡 Inc.는 미국 델라웨어주에 설립된 법인으로, 뉴욕증시에 상장된 한국 쿠팡의 모회사다.
공시에 따르면 쿠팡은 지난 11월 18일 고객 계정에 대한 무단 접근이 발생한 사이버 보안 사고를 인지했다. 사고를 확인한 직후 침입자의 접근을 차단하고, 한국의 관계 당국과 수사기관에 신고했으며, 정보가 노출됐을 가능성이 있는 고객들에게도 통지했다고 밝혔다.
쿠팡은 보고서에서 전직 직원 1명이 최대 3300만 명의 고객 계정과 관련된 이름, 전화번호, 배송 주소, 이메일 주소와 일부 계정의 주문 이력에 접근했을 가능성이 있는 것으로 파악했다고 밝혔다.
또한 이번 사건을 이를 정보 ‘유출’이 아닌 ‘무단 접근(unauthorized access)’으로 표현하고, 해당 직원이 관련 정보를 취득했을 가능성(may have obtained)이 있다고 기재했다. 실제로 해당 정보가 외부에 공개됐는지 여부에 대해서는 “회사가 인지한 범위(to Coupang’s knowledge)에서는 확인되지 않았다”고 밝혔다. 영향 규모 역시 ‘최대(up to) 3300만 개’로 한정해 표현됐다.
공시에는 은행 계좌 정보, 결제 카드 정보, 로그인 자격증명 등 민감한 금융 정보는 취득되거나 침해되지 않았다고 명시됐다. 쿠팡은 외부 포렌식 전문기관을 투입해 조사를 계속하고 있고 한국 규제 당국이 진행 중인 조사에도 전면 협조하고 있다고 설명했다.
쿠팡은 한국 규제 당국이 과징금 등 재정적 제재를 부과할 가능성은 인정하면서도, 현재로서는 그 규모나 범위를 합리적으로 추정할 수 없다고 밝혔다. 이번 사고로 회사 운영이 중대하게 중단되지는 않았다고 설명했지만 향후 경영진의 업무 부담 증가, 매출 감소 가능성, 복구 비용 증가, 규제 제재 및 소송 비용 등으로 인해 재무적 손실이 발생할 수 있다고 덧붙였다.
이번 공시는 ‘중대한 사이버 보안 사건(Material Cybersecurity Incident)’ 항목으로 이뤄졌다. 다만, 공시에는 사고를 언제 ‘중요 사건’으로 판단했는지에 대한 시점은 명시되지 않았다.
SEC 규정에 따르면 미국 증시에 상장된 기업은 사이버 보안 사고가 중요하다고 판단된 경우, 해당 판단 시점으로부터 4영업일 이내에 공시해야 한다. 그러나 쿠팡의 이번 8-K 보고서에는 지난 11월 18일 사고를 인지했다는 사실만 기재돼 있을 뿐, 중요성 판단이 이뤄진 구체적인 시점은 드러나지 않는다.
이에 대해 업계에서는 쿠팡이 사고 인지 시점과 중요성 판단 시점을 명확히 구분하지 않음으로써 SEC 공시 기한 산정과 관련해 해석의 여지를 남긴 것으로 풀이될 수 있는 대목이다.
힌편 최근 미국 상장사들의 사이버 보안 관련 공시의 경우, 중요 사건으로 판단한 날짜를 별도로 명시하는 사례가 적지 않은 것으로 알려졌다.
 |
