회사의 보안은 증권 감독 당국이 개입할 문제

The Securities and Exchange Commission on Monday sued SolarWinds, the software company victimized by Russian-linked hackers over three years ago, alleging the firm defrauded shareholders by repeatedly misleading them about its cyber vulnerabilities and the ability of attackers to penetrate its systems.
– the wall street journal 2023. 10. 31.

미국의 쏘프트웨어 회사인 쏠러윈즈의 보안 씨스템이 3년 전 러시아와 관련된 해커들에 의해 뚫렸다. 아마도 회사의 중요한 정보들이 새어 나가 회사가 1차적으로 손해를 봤을 건 쉽게 미루어 짐작할 수 있는 거고 이 회사의 고객 관련 정보들도 유출되었다면 그 고객들도 피해를 봤을 걸 예상할 수 있다. 여기까진 흔히 있는 일들이다. 그런데 미국의 증권거래위원회 즉 미국 정부가 이 회사를 고발했다.

일반적인 주주라면 자신이 주주로 있는 회사의 보안이 취약할 것을 예상하지 않는다. 정상적인 주주라면 그런 우려가 있을 때 회사에 대책을 강구하게 할 거기 때문이다. 회사가 자신의 보안에 대해 염려를 할 게 없다고 명시적으로 주주에게 보고를 했을 때는 물론이고 보안에 관련된 특별한 보고가 없었다 해도 이는 묵시적으로 회사의 보안에 특별한 문제는 없다는 보고를 한 거로 볼 수 있다. 회사의 보안에 문제가 있다면 이는 마땅히 주주가 알아야 할 사안이기 때문이다.

경찰은 눈 앞의 형사 불법 행위를 막아야 할 의무를 지고 소방관은 화재 현장을 목격한 때 화재를 진압해야 하는 의무를 부담한다. 위험한 산행 등을 할 때에는 위험에 처한 동료를 도와야 하며 저 혼자 살겠다고 위험에 처한 동료를 버리고 도망하면 법적 책임을 지게 된다. 이런 사람들이 그냥 가만히 있으면 그러한 부작위 자체가 불법 행위가 된다. 이렇게 특별한 법적 지위를 보증인적 지위라 한다. 위의 고발은 위 회사에 대하여 확장된 보증인적 지위를 물은 거로 이해할 수 있다. 보통 민사적으로 다퉈지는 사건을 정부가 나서 형사 사건으로 끌고 가려는 시도가 참신하다.