쿠팡 모회사 쿠팡Inc가 지난 15일(현지시각) SEC에 제출한 '중요 사건 신고서'(Form 8-K)를 통해 "전직 직원이 연루된 고객 정보 무단 접근 사고를 인지했다"고 뒤늦게 공시한 것으로 드러났다. SEC는 상장 기업이 사이버 보안 사고를 '중대하다'고 판단할 경우 4영업일 이내에 공시하도록 의무화하고 있다. /사진=뉴시스 권창회 기자

쿠팡이 고객 정보 유출 사고 발생 2주가 지나서야 미국 증권거래위원회(SEC)에 관련 사실을 공시한 것으로 확인됐다. SEC 규정인 '4영업일 내 공시' 원칙을 어겼다는 지적이 나오는 가운데 사측은 이번 사태로 인한 과징금 부과 등 재무적 손실 가능성을 공식 인정했다.

17일 업계와 SEC에 따르면 쿠팡 모회사 쿠팡Inc는 지난 15일(현지시각) SEC에 제출한 '중요 사건 신고서'(Form 8-K)를 통해 "전직 직원이 연루된 고객 정보 무단 접근 사고를 인지했다"고 밝혔다. 쿠팡 측은 해당 보고서에서 한국 감독 당국의 조사에 협조하고 있으며 이번 일로 과징금이나 소송 비용 등 재정적 타격을 입을 수 있다고 공시했다.


SEC는 상장 기업이 사이버 보안 사고를 '중대하다'고 판단할 경우 4영업일 이내에 사고의 성격과 범위, 잠재적 영향 등을 공시하도록 의무화하고 있다. 쿠팡은 지난달 18일 사고를 인지했으나 약 한달이 다 돼가는 시점에 보고서를 제출해 늑장 공시 논란이 일고 있다. 야후가 2018년 해킹 사실을 2년 뒤에 공시했다가 3500만달러의 벌금을 문 사례가 있어 미국 당국의 제재 여부가 주목된다.

보고서에는 사고에 대해 '정보 유출'이 아닌 '무단 접근'으로 규정했다. 그러면서 전직 직원 1명이 최대 3300만명의 이름, 전화번호, 주소, 주문 이력 등에 접근했을 가능성이 있으나 회사가 인지한 범위 내에서 외부 공개 여부는 확인되지 않았다고 명시했다. 이어 금융 정보나 비밀번호 등 민감한 데이터는 침해되지 않았다고 덧붙였다.

사태 여파와 관련해 쿠팡은 경영진 업무 집중도 분산, 잠재적 매출 손실, 규제 기관의 제재 등으로 인한 피해를 우려했다. 한국 규제 당국이 과징금 등 재정적 제재를 가할 가능성은 인정하면서도 현재로서는 그 규모를 추정할 수 없다고 설명했다.


보고서에는 박대준 쿠팡 대표의 사임 사실과 해롤드 로저스 쿠팡Inc 법률고문이 임시 대표를 맡는다는 내용도 포함됐다. 로저스 대표는 이날 김범석 의장을 대신해 국회 청문회에 출석했다.