미국 은행협회(American Bankers Association, ABA), 은행정책연구소(Bank Policy Institute, BPI), 증권산업금융시장협회(Securities Industry and Financial Markets Association, SIFMA) 등 주요 미국 은행업계 단체들이 2024년 1월 31일 미국 증권거래위원회(SEC)에 논란이 된 사이버보안 사건 공시 규정 철회를 요구하는 공식 청원서를 제출했다.
26일(현지시간) 크립토뉴스에 따르면, 5월 22일 2025년에 제출된 청원서는 공개 기업들이 사이버보안 사건의 중요성을 판단한 후 4영업일 이내에 중대한 사이버보안 사건을 공시하도록 의무화하는 Form 8-K의 Item 1.05와 해외 민간 발행인을 위한 해당 Form 6-K 요구사항의 폐지를 요구하며 국가 보안, 투자자 피해, 운영 중단에 대한 깊은 우려를 인용했다.
단체들은 이러한 요구사항이 부담스럽고 혼란스러우며 사이버보안과 투자자 보호에 역효과를 낸다는 것이 입증되었다고 주장한다.
청원서는 "중대한 사이버 사건의 조기 공개가 사건 억제를 위험에 빠뜨리고, 법 집행 기관 협조를 방해하며, 시장과 법적 혼란을 촉발했다"고 명시했다.
2023년 7월 채택된 SEC의 사이버보안 위험 관리, 전략, 거버넌스 및 사건 공시 규정은 투명성을 강화하고 공개 기업들이 사이버보안 위협을 투자자들에게 전달하는 방식을 표준화하려는 의도였다.
하지만 비판자들은 정반대의 결과를 달성하고 있다고 말한다. 청원서는 등록 기업들이 사건이 진행 중이고, 조사가 불완전하며, 시스템이 완전히 복구되지 않은 상황에서도 사건을 보고하도록 강요받고 있어 잠재적으로 공격자들에게 유리함을 제공하고 있다고 강조한다.
이 규정은 기업들이 사건을 언제 어떻게 공개해야 하는지에 대한 상당한 혼란을 야기했다. SEC가 준수 및 공시 해석, 의견서, 위원 지침을 통해 명확히 하려는 시도에도 불구하고, 등록 기업들은 여전히 Item 1.05와 Item 8.01 하에서 보고할지 여부를 결정하는 데 어려움을 겪고 있다.
업계 단체들에 따르면 이러한 불확실성으로 인해 규정이 비효과적이고 법적으로 위험해졌으며, 기업들을 소송과 평판 손상에 노출시키면서 투자자들을 위한 실행 가능한 정보 생성에는 실패하고 있다.
주목할 만한 점은 단체들이 랜섬웨어 갱단과 기타 사이버 범죄자들이 SEC의 공시 일정을 무기화하기 시작했으며, 공개 위협을 피해자들을 갈취하는 수단으로 사용하고 있다고 경고했다는 것이다.
청원서는 "사건 공시 요구사항이 랜섬웨어 범죄자들에 의해 악의적인 목적을 달성하기 위해 악용되고 있다"고 언급하며, 기업들이 취약하다고 알려지면 후속 공격 가능성을 높일 수도 있다고 덧붙였다.
청원서의 핵심은 SEC의 공시 규정이 연방 사이버보안 전략을 훼손한다는 경고다.
단체들은 또한 중대한 사이버 사건의 세부사항을 너무 일찍 공개하는 것이 사이버 사건 보고법(Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA)과 같은 법률 하의 기밀 보고 요구사항과 충돌할 수 있다고 주장한다.
SEC의 투자자 보호 강화 의도에도 불구하고 청원서는 현재의 사이버 사건 공시 규정이 시장에 "결정에 유용한" 정보를 제공하지 못한다고 주장한다.
대신 규제하려는 기관들에게 피해를 주면서 불완전한 사실에 기반한 오해의 소지가 있는 서사를 만들 위험이 있다.
은행업계 단체들은 Regulation S-K Item 105와 기존의 중대성 프레임워크 같은 기존 공시 의무가 이미 기업들로 하여금 국가 보안이나 기업 회복력을 손상시키지 않으면서 투자자 이익을 보존하는 방식으로 사이버보안 위협을 포함한 중요한 위험을 보고하도록 강요하고 있다고 주장한다.
그들은 Item 1.05 없이도 투자자들이 여전히 보호받을 것이라고 단언한다.
서한은 "그들이 위에서 제기된 우려를 더 잘 완화하면서 중대한 정보, 즉 중대한 사이버보안 사건을 포함할 수 있는 정보를 보고하기 위한 기존 공시 프레임워크를 통해 더 나은 서비스를 받을 것이라고 믿는다"고 결론짓는다.
SEC는 아직 5월 22일 청원에 대해 공개적으로 응답하지 않았다. SEC가 다음 조치를 고려하는 가운데, 결과는 미국 기업들이 점점 더 적대적인 생태계에서 투명성과 사이버보안 회복력의 균형을 맞추는 방식을 재편할 수 있다.