SEC 사이버 보안 침해 보고 규정 시행 1년··· 여전히 혼란스러운 美 CISO들

슈스코는 “보안과 관련된 중대한 사항을 판단하는 것은 단순한 작업이 아니며, 보안 리더 혼자 결정할 수 없다”라며 “보안팀은 비즈니스 운영 담당자, 법률 자문, 외부 포렌식 전문가와 함께 자체적인 공시위원회를 구성해 판단해야 한다”라고 조언했다.

SEC의 엄격한 집행은 계속된다

SEC는 2015년부터 사이버 보안 사고와 관련해 200건 이상의 집행 조치를 취했으며, 이 중 약 25%는 사이버 보안 사고와 관련된 것이었다. 최근에는 투자자에게 중요한 영향을 미치는 사이버 보안 사고에 대해 오해의 소지가 있는 정보를 제공한 기업을 제재한 사례가 증가하고 있다.

2024년 12월, SEC는 미국 금융 서비스 회사 플래그스타(Flagstar)에 355만 달러의 벌금을 부과했다. 플래그스타는 2021년 말 발생한 ‘시트릭스 블리드(Citrix Bleed)’ 사이버 공격으로 인한 보안 사고를 보고했으나, 약 150만 명의 고객 민감 데이터가 유출된 사실을 공개하지 않았다. 이 공격은 내부에서 사용하던 시트릭스 제품의 보안 취약점을 악용한 것이었다.