투자자 보호 팔 걷은 증권거래위원회

미국 증권거래위원회(SEC)는 8일(현지시간) 각 상장기업이 과거 사이버 공격을 당했거나 앞으로 당할 가능성 등 해킹에 관한 모든 내역을 숨기지 말고 투자자들에게 공개할 것을 의무화했다. SEC는 상원 상무·과학·교통위원회의 제이 록펠러 위원장에게 보낸 서한에서 투자자 보호를 위해 이 같은 지시를 내렸다고 밝혔다. SEC는 지적재산권과 거래 비밀 도용을 초래할 수 있는 네트워크 파손 등을 공개 대상에 포함시키는 등 구체적인 규정을 곧 발표할 계획이다. 미 연방 증권거래법은 ‘각 상장회사들은 합리적인 투자자가 투자 결정에 중요하다고 생각하는 위험을 공개해야 한다.’고 명시하고 있다.

이미지 확대

닫기 이미지 확대 보기

SEC는 서한에서 “이 법에서 말하는 위험에는 과거의 사이버 공격뿐 아니라 미래의 사이버 공격, 해킹에 따른 영향까지가 포함된다.”고 밝혔다. 해킹 내역은 상장기업이 공개해야 하는 법적 의무사항에 해당한다고 유권해석을 한 것이다.

미 정부가 해킹 대책을 발표한 이날도 씨티그룹은 지난달 내부 전산망이 해커들로부터 공격을 받아 전체 고객의 약 1%에 해당하는 수십만명의 개인 정보가 유출됐다고 발표했다. 씨티그룹은 고객 이름과 계좌번호, 이메일 주소와 연락처 등이 외부로 빠져나간 것으로 확인돼 해당 고객들에게 해킹 사실을 통보하고 보안 조치를 강화했다고 밝혔다. 컴퓨터 해킹은 이제 일부 컴퓨터광(狂)의 치기 어린 장난이나 단발적인 사건이 아니라 산업계와 국가 경제 전체를 뒤흔들 수 있는 심각한 범죄라는 인식을 미 정부 당국이 확고히 한 셈이다.

지난해 미국 기업 데이터 파손의 31.5%가 해킹에 의한 것이었으며, 이것은 그 전 해에 비해 24%가 늘어난 것이라고 미국의 페노메논 연구소가 지난 3월 밝힌 바 있다. 또 미국 기업 전체의 85%가량이 1회 이상 해킹을 당했고, 해킹 피해를 돈으로 환산하면 건당 720만 달러(약 77억 9400만원)의 손실을 입혔다는 것이다.

해킹은 분식회계 등 전통적인 거래 부정보다 더 심각한 피해를 기업에 입힐 수 있다. 기업의 핵심기술과 중요 정보를 순식간에 훔쳐가기 때문이다. 기업이 이런 사실을 숨겼다가 나중에 치명적인 해킹 피해가 드러날 경우 투자자들은 회복 불능의 손실을 입을 수 있다. 앞으로 해킹이 일어날 가능성까지 공개할 것을 의무화한 것은 무한 책임 의식을 갖고 능동적으로 해킹에 맞서라는 경고로 풀이된다.

SEC의 해킹 내역 공개 의무화는 미 연방 증권거래법의 투자자 보호 조항에 근거한 것으로, 지키지 않으면 처벌을 받게 된다.

미국 정부는 일반 기업에 대해서는 법적 구속력 없는 인센티브로 사이버 보안 강화를 유도하는 반면 금융전산망과 전력망 등 국가 기간시설망에 대해서는 사이버 보안 관련 입법을 강화하는 ‘투트랙’ 전략으로 접근하고 있다. 이미 오바마 정부는 지난달 12일 의회에 관련 법 제정을 요청한 상태다.

워싱턴 김상연특파원 carlos@seoul.co.kr