해외규제 리포트 - 미국 증권거래위원회(SEC)는 최근 Form 8-K에 사이버 보안 사건(Cybersecurity Incidents)을 공개하는 것에 관하여 두 차례 지침을 발표
미국 증권거래위원회(SEC)는 최근 Form 8-K에 사이버 보안 사건(Cybersecurity Incidents)을
공개하는 것에 관하여 두 차례 지침을 발표
1. 주요 내용
5월에 발표된 첫 번째 지침
지난해 7월 미국 증권거래위원회(SEC)는 회사가 중대한 것으로 결정한 사이버 보안 사건을 우리나라 수시보고서에 해당하는 Form 8-K의 항목 1.05에 공개하도록 하였습니다. 이에 관하여, 첫 번째 지침은 회사가 중대하지 않은 사이버 보안 사건이나 중대한지 여부를 아직 결정하지 못한 사이버 보안 사건을 공개하기를 꺼리거나 어렵게 생각하는 경우가 있는 것으로 보인다는 점을 언급하면서, Form 8-K의 항목 8.01에 따라 일반적인 사이버 보안 사건을 공개할 수 있다는 점을 강조하였습니다. 다만, 해당 사건이 나중에 중대한 것으로 결정되면 회사는 해당 결정일로부터 4영업일 이내에 Form 8-K 항목 1.05로 표시하여 정정하여야 합니다.
이와 관련하여, SEC는 아직 중요성 여부를 결정하지 않은 사이버 보안 사건이나 회사가 중요하지 않다고 판단한 사건을 자발적으로 공개하는 것이 결국 투자자, 시장, 그리고 궁극적으로 회사에 가치를 제공한다는 점을 인식하고 있으며, 본 지침은 회사가 보다 투명하게 정보를 공개하여 투자자의 혼란을 초래하지 않게 하는 동시에, 중요한 사이버 보안 사건에 대한 항목 1.05 공시가 잘 운영될 수 있도록 자발적 공개를 권장하기 위한 것이라고 설명했습니다.
6월에 발표된 두 번째 지침
Form 8-K의 항목 1.05는 회사가 중요한 사이버 보안 사건에 대한 정보를 Form 8-K에 공개하는 것 외에도 다른 당사자(공급업체, 고객, 유사한 위험에 처한 회사, 변호사 등)와 비공개로 논의하거나 공유하는 것을 허용하며, 이는 해당 당사자들의 위험 완화 또는 회피 노력이나 보다 적극적인 규제 준수를 촉진할 수 있다고 판단됩니다.
이러한 항목 1.05는 사이버 보안 관련 커뮤니케이션에 대한 SEC의 공정공시규정(Regulation FD)의 적용을 변경하지는 않습니다. Regulation FD는 증권 시장 전문가 또는 주주에게 선택적으로 공개된 중요한 비공개 정보를 공개하도록 요구하지만, 그러한 공개로 Regulation FD가 적용되는지는 어떠한 정보가 공개되었는지, 누구에게 공개되었는지에 따라 다릅니다. 법률 자문과 함께, 회사는 비공개 정보를 다루는 비밀 유지 계약을 체결하는 등의 방법으로 Regulation FD를 적용하지 않고 비공개로 이러한 정보를 공개할 수 있습니다.
2. 시사점
미국회사는 사이버 보안 사건이 발생하는 경우, SEC 공시와 관련하여서도 신경을 쓸 필요가 있습니다. 특히, 사건의 영향(또는 합리적으로 예상되는 영향), 평판, 고객 또는 공급업체 관계, 경쟁력, 소송 가능성 또는 규제 조사 또는 조치와 같은 질적 요소를 포함한 모든 관련 요소를 고려하여 중대성(Materiality) 여부를 판단하고, 결정된 내용을 Form 8-K에 공시를 할지, 어떤 항목으로 분류하여 공시할지, Regulation FD가 필요한 것은 아닌지 여부를 판단해야 한다는 점을 기억해 두어야 할 것입니다.