부제: 쿠팡, SKT, 롯데카드 연쇄 유출 사태로 본 한국형 보안 거버넌스의 붕괴와 징벌적 손해배상 및 CDR(기업의 디지털 책임) 도입을 통한 재건 전략
안녕하세요~ Brandon AI Ethics Solution Center 입니다.
오늘 오전 한통의 문자를 받았습니다.어제 뉴스를 보고나허탈 했는데 문자 내용보고 더 황망합니다.
전형적인 책임회피와 피상적인 발표 한번 살펴보실까요?
[Web발신]
쿠팡을 이용해 주시는 고객님께 진심으로 사과드립니다.
고객님의 소중한 개인정보가 일부 노출되는 사고가 발생하였습니다.
쿠팡은 이번 노출을 인지한 즉시 관련 당국에 신속하게 신고하였습니다.
이번 사건은 비인가 조회로 파악되었으며 경찰청, 개인정보보호위원회, 한국인터넷진흥원 등 관련 당국과 협력하여 조사 중에 있습니다.
현재까지 조사된 결과에 따르면 노출된 정보는 고객님의 이름, 이메일 주소, 배송지 주소록 (입력하신 이름, 전화번호, 주소) 그리고 주문정보입니다. 고객님의 카드정보 등 결제정보 및 패스워드 등 로그인 관련 정보는 노출이 없었음을 확인하였으며 안전하게 보호되고 있습니다.
쿠팡은 비정상 접근 경로를 즉시 차단하였고, 내부 모니터링을 한층 더 강화하였습니다.
고객님께 심려를 끼쳐 드린 점에 대해 다시 한번 진심으로 사과의 말씀을 드리며 쿠팡을 사칭하는 전화, 문자 등에 각별한 주의를
부탁드립니다. 쿠팡의 모든 임직원은 고객님의 불편과 심려를 신속하게 해소할 수 있도록 최선의 노력을 다하겠습니다.
링크(https://mc.coupang.com/ssr/mobile/faqlist) 에는 자주 묻는 질문(FAQ)과 문의처가 포함되어 있으며 추가 내용은 해당 링크를 통해 지속적으로 업데이트하도록 하겠습니다.
"즉시 신고"라는 말장난 (타이밍의 모순)
문자 내용: 인지한 즉시... 신속하게 신고하였습니다
사고 발생 후 18일이나 지나서 터뜨렸으면서 "즉시"라고요?
"배송지 주소록"의 공포 (2차 피해의 확산)
이게 제일 심각합니다. 본인의 정보만 털린 게 아니라, 본인이 선물 보냈던 친구, 지인들의 이름/전화번호/주소까지 싹 다 나갔다는 소리잖아요.
본인은 쿠팡 회원이라 털렸다 쳐도, 내 지인들은 무슨 죄인가요? 이건 '나'를 넘어서 '내 인간관계'를 위협하는 문제입니다.
(스미싱 범죄자들이 "어머니, 아들이 보낸 택배..." 하면서 접근하기 딱 좋죠 )
주문 정보" 유출의 심각성 (프라이버시 침해)
문자 내용: 그리고 주문정보 단순히 이름, 번호가 아니라 '내가 뭘 샀는지' 취향과 생활 패턴이 다 드러났다점입니다.. 아기 기저귀를 샀는지, 탈모 약을 샀는지, 건강식품을 샀는지...
이건 단순 정보 유출을 넘어 사생활 감시(Surveillance) 수준의 피해입니다.
이걸로 맞춤형 스팸 문자가 오면 사람들은 속수무책으로 당할 수밖에 없어요.
자 이제 답답함을 뒤로 하고 본격적으로 이 반복되는 악순환을 끊을 수는 없을지 한번 살펴보도록 하겠습니다.
1. 서론: 초연결 사회의 역설과 신뢰의 붕괴
2025년 대한민국은 '데이터 재난'의 해로 기록될 것입니다. 디지털 전환(Digital Transformation)이 가속화되며 국가의 모든 인프라와 경제 활동이 데이터 위에서 작동하고 있지만, 이를 지탱해야 할 보안 거버넌스는 전근대적인 '규제 준수(Compliance)' 수준에 머물러 있음이 만천하에 드러났습니다. 특히 2025년 11월, 국내 최대 이커머스 기업인 쿠팡에서 발생한 3,370만 명 규모의 개인정보 유출 사태는 단순한 기술적 사고를 넘어, 한국 기업 생태계 전반에 만연한 '보안 불감증'과 '윤리적 태도(Ethics Attitude)'의 부재를 상징적으로 보여주는 사건입니다.1 국민의 과반수가 넘는 인구의 실명, 이메일, 배송지 주소 등 실물 범죄에 악용 가능한 정보가 유출되었음에도 불구하고, 기업의 초기 대응은 축소와 은폐에 가까웠으며 경영진은 법적 책임의 장막 뒤로 숨는 구태를 반복했습니다.2
문제는 이것이 단일 기업의 일탈이 아니라는 점입니다. 국가 기간망을 책임지는 SK텔레콤(SKT)과 KT, 금융의 혈맥인 롯데카드에 이르기까지, 2024년과 2025년에 걸쳐 발생한 연쇄적인 대규모 유출 사고는 한국의 보안 체계가 총체적 난국에 빠져 있음을 시사합니다.3 기업들은 막대한 이익을 창출하면서도 보안을 '비용(Cost)'으로만 치부하여 투자를 등한시하고, 사고 발생 시에는 정보보호최고책임자(CISO)나 실무자를 방패막이로 삼아 최고경영자(C-Level)의 책임을 회피하는 '꼬리 자르기' 관행이 고착화되어 있습니다.6
본 보고서는 이러한 한국형 보안 사고의 공통된 패턴을 심층 분석하고, 이를 타개하기 위한 해법을 모색합니다. 특히 솜방망이 처벌로 비판받는 현행 법적 제재의 한계를 극복하기 위해 미국, 유럽연합(EU), 중국, 일본의 선진 사례를 비교 분석합니다. 이를 통해 실효성 있는 '징벌적 손해배상제'의 도입과, 단순한 CSR(기업의 사회적 책임)을 넘어선 '기업의 디지털 책임(CDR: Corporate Digital Responsibility)' 및 '윤리적 태도'의 정착 방안을 제안하고자 합니다. 데이터는 4차 산업혁명의 원유(Oil)라고 불리지만, 안전하게 관리되지 않는 원유는 폭발물과 다름없다는 사실을 직시해야 할 시점입니다.
2. 2024-2025년 주요 보안 사고 심층 사례 연구
한국의 보안 사고는 기술적 결함보다는 거버넌스와 윤리의 결함에서 기인하는 경향이 뚜렷합니다. 최근 발생한 주요 3대 사건을 통해 그 구조적 원인을 해부합니다.
2.1 쿠팡: 3,370만 명 유출과 내부 통제의 붕괴
2025년 11월 29일 확인된 쿠팡의 개인정보 유출 사건은 그 규모와 성격 면에서 한국 보안 역사의 오점으로 남을 것입니다.
사건의 재구성 및 파장:
초기 쿠팡은 피해 규모를 약 4,500개 계정으로 발표했으나, 정밀 조사 결과 그 7,500배에 달하는 3,370만 개 계정이 유출된 것으로 확인되었습니다.1 유출된 정보는 고객의 이름, 이메일, 배송지 주소록에 저장된 제3자의 이름과 전화번호까지 포함하고 있어, 보이스피싱이나 스토킹 등 2차 범죄로 이어질 가능성이 매우 높습니다.
핵심 문제점: '윤리적 태도'의 실종:
가장 심각한 문제는 대응 과정에서 드러난 기업의 윤리적 태도입니다. 침해 행위는 이미 6월 24일부터 시작되었으나, 기업은 11월이 되어서야 이를 인지하고 공지했습니다. 약 5개월간 고객 정보가 무방비로 노출되었음에도 이를 탐지하지 못했다는 것은 보안 관제 시스템의 무능을 의미합니다. 더욱이 초기 대응 단계에서 "외부 침입 흔적은 없다"며 제3자의 소행을 강조했으나, 결국 내부 직원에 의한 정보 유출 혐의가 포착되어 경찰 고소로 이어졌습니다.2 이는 내부 통제(Internal Control) 시스템이 작동하지 않았음을 시사하며, 사고 발생 직후 투명한 공개보다는 책임 회피를 우선시하는 한국 기업의 전형적인 '나쁜 대응' 사례를 보여줍니다.
2.2 롯데카드: 금융 보안의 허상과 거버넌스 부재
2025년 8월 발생한 롯데카드 사태는 금융 정보의 민감성을 고려할 때 그 심각성이 남다릅니다.
사건의 개요:
약 297만 명의 고객 정보가 유출되었으며, 유출된 데이터의 양은 200GB에 달합니다. 단순 개인식별정보뿐만 아니라, 암호화된 카드 번호, 유효 기간, CVC 코드, 비밀번호 등 금융 결제에 직접적으로 악용될 수 있는 치명적인 정보들이 포함되었습니다.8
구조적 원인: 사모펀드 체제와 보안 투자 축소 의혹:
보안 전문가들은 이번 사태의 원인으로 '보안 거버넌스의 부재'를 지적합니다. 특히 롯데카드의 대주주가 사모펀드(PEF)라는 점에 주목할 필요가 있습니다. 단기간 내에 기업 가치를 높여 매각 차익을 실현해야 하는 사모펀드의 특성상, 장기적 안목이 필요한 보안 인프라와 전문 인력에 대한 투자가 뒷전으로 밀렸을 가능성이 제기됩니다.8 200GB라는 방대한 데이터가 장기간 외부로 빠져나가는 트래픽을 탐지하지 못했다는 것은, 기본적인 이상 징후 탐지 시스템조차 제대로 갖추지 않았거나, 운영 인력이 부족했음을 방증합니다. 이는 경영진이 보안을 '투자'가 아닌 줄여야 할 '비용'으로 인식했을 때 발생하는 전형적인 인재(人災)입니다.
2.3 SKT & KT: 기간통신망의 반복되는 악몽
국가 안보와 직결되는 기간통신사업자들의 보안 태세 또한 심각한 수준입니다.
기술적 취약성과 안일함:
SK텔레콤의 경우, 시스템 관리망을 통해 해커가 침투하여 악성코드(웹쉘, BPFDoor)를 설치하고 장기간 잠복했음에도 이를 인지하지 못했습니다.9 이는 망 분리 정책이 현장에서 형해화되었음을 의미합니다. KT와 LG U+ 역시 2025년 내내 해킹 의혹과 유출 사고가 끊이지 않았습니다.5 통신 3사가 독과점적 지위를 누리며 막대한 영업이익을 거두는 동안, 정작 고객의 정보를 보호하는 보안 투자에는 인색했다는 비판을 피하기 어렵습니다. 특히 SKT 사건의 경우, 정부가 회사의 귀책사유를 인정했음에도 불구하고, 대규모 소송이나 징벌적 배상으로 이어지지 않는 한국의 법적 현실이 기업들의 도덕적 해이를 부추기고 있습니다.
2.4 한국형 보안 사고의 공통 DNA 분석
위 사례들을 종합해보면 한국형 보안 사고를 관통하는 몇 가지 공통된 DNA가 발견됩니다.
1.내부 위협 관리 실패 (Failure of Zero Trust): 쿠팡과 SKT 사례 모두 내부 계정 관리 소홀이나 내부자의 악의적 행위가 사고의 시발점이 되었습니다. '경계 보안(Perimeter Security)'에만 의존하고 내부자는 무조건 신뢰하는 구시대적 보안 모델이 여전히 주류를 이루고 있습니다.
2.늑장 대응과 책임 전가: 사고 발생 후 즉각적인 사과와 보상안 발표보다는, 법적 검토를 핑계로 공지를 지연시키거나 피해 규모를 축소하려는 시도가 반복됩니다. 이는 고객 신뢰보다 법적 리스크 관리를 우선시하는 잘못된 '윤리적 태도'에서 기인합니다.
3.경영진의 무풍지대: 수천만 명의 정보가 털려도 CEO가 해임되거나 형사 처벌을 받는 사례는 극히 드뭅니다. 모든 책임은 실무 임원인 CISO에게 전가되며, 이는 경영진으로 하여금 "보안 사고는 비즈니스 리스크 중 하나일 뿐, 생존의 문제는 아니다"라는 잘못된 시그널을 주게 됩니다.
3. 구조적 원인 분석: 왜 한국 기업은 변하지 않는가?
반복되는 사고에도 불구하고 기업들이 변하지 않는 이유는 명확합니다. 현재의 법적, 제도적 환경하에서는 보안에 투자하는 것보다 사고 발생 후 과태료를 내는 것이 경제적으로 더 '이익'이기 때문입니다.
3.1 솜방망이 처벌과 경제학적 분석
한국의 개인정보보호법은 개정을 통해 과징금 상한액을 '전체 매출액의 3%'로 상향 조정했습니다. 표면적으로는 강력해 보이지만, 실상을 들여다보면 여전히 '솜방망이'에 불과합니다.
감경의 미학(?)과 실효성 부족:
법률상 상한선은 3%이지만, 실제 부과 과정에서는 다양한 감경 사유가 적용됩니다. '위반 행위와 관련된 매출액' 산정의 모호함, 사고 후 시정 조치 노력, 경영상의 어려움 등을 이유로 과징금은 대폭 깎여나갑니다.10 반면 EU의 GDPR은 '전 세계 매출액의 4%'를 부과하며, 감경 사유를 매우 엄격하게 적용하여 기업의 존폐를 위협할 수준의 타격을 입힙니다. 한국 기업 경영진에게 수십억 원 수준의 과징금은 매년 발생하는 수조 원의 매출 대비 '감당할 만한 비용(Affordable Cost)'으로 인식됩니다.
형사 처벌의 공백:
SKT와 같은 기간통신사업자가 중대한 과실로 정보를 유출해도, 현행법상 안전성 확보 조치 미비에 대한 직접적인 형사 처벌 규정이 미흡하거나, 적용되더라도 벌금형에 그치는 경우가 많습니다. 법조계 전문가들조차 "국가 기간 사업을 독점하며 혜택을 누리는 기업이 보안 의무 위반에 대해 형사 책임을 지지 않는 것은 특혜"라고 지적합니다.6
3.2 C-Level의 책임 회피 구조와 '총알받이 CISO'
한국의 '정보통신망법' 및 '개인정보보호법'은 기업에 정보보호최고책임자(CISO) 지정을 의무화하고 있습니다. 이 제도의 본래 취지는 전문성을 가진 임원이 보안을 책임지게 하는 것이었으나, 현실에서는 CEO의 면죄부로 변질되었습니다.
권한 없는 책임 (Responsibility without Authority):
대부분의 한국 기업에서 CISO는 CEO나 CFO(재무최고책임자)의 하위 조직으로 편제되어 있습니다. CISO에게는 법적 책임이라는 막중한 짐이 지워지지만, 이를 수행하기 위한 예산 집행권이나 인사권은 부여되지 않는 '권한과 책임의 불일치' 현상이 발생합니다.7 보안 투자를 늘리자고 제안하면 재무 라인에서 "수익성에 도움이 되지 않는다"며 삭감하고, 사고가 터지면 "CISO가 막지 못했다"며 징계하는 구조입니다.
대리인 문제 (Agency Problem):
CEO는 CISO를 선임함으로써 법적 의무를 다한 것으로 간주되는 경향이 있습니다. 심지어 일부 기업은 CISO의 자격 요건을 충족하기 위해 명목상의 임원을 앉혀두거나, 다른 업무와 겸직하게 하여 제도를 형해화합니다.11 이러한 구조 하에서 CEO는 보안 사고를 자신의 책임이 아닌 '기술 부서의 실수'로 치부할 수 있게 됩니다.
3.3 '윤리적 태도(Ethics Attitude)'의 구조적 결핍
글로벌 선도 기업들이 보안을 '신뢰(Trust)'와 '윤리(Ethics)'의 관점에서 접근하는 반면, 한국 기업들은 이를 단순한 '규제 준수'의 문제로 접근합니다.
BMS(Bristol Myers Squibb) 사례와의 대조:
글로벌 제약사 BMS의 경우, '제3자에 대한 비즈니스 윤리 행동 기준'을 통해 파트너사에게도 자사와 동등한 수준의 정보보호 및 윤리 경영을 요구합니다. 만약 파트너사가 이를 준수하지 않거나 보안 사고를 은폐할 경우, 즉각적으로 계약을 해지하는 강력한 '윤리적 태도'를 견지합니다.14 이는 보안을 기업 생태계 전체의 건전성을 유지하기 위한 필수 요건으로 보는 시각입니다.
반면, 한국 기업들은 사고 발생 시 대형 로펌을 선임해 과징금을 줄이는 데에만 골몰할 뿐, 피해 고객에 대한 진정성 있는 사과나 근본적인 기업 문화 개선에는 소극적입니다. 이는 경영진이 보안 사고를 '범죄'가 아닌 '운이 나빠서 걸린 일' 정도로 인식하고 있음을 보여주는 증거입니다.
4. 글로벌 비교 분석: 한국, 미국, 중국, 일본, EU의 거버넌스
한국의 보안 수준을 혁신하기 위해서는 각국의 법적 규제와 기업 책임을 비교하여 시사점을 도출해야 합니다. 각국은 고유의 법률 체계와 문화적 배경에 따라 서로 다른 방식으로 기업의 보안 책임을 강제하고 있습니다.
4.1 비교 요약표
| 비교 항목 | 한국 (PIPA/정보통신망법) | EU (GDPR) | 미국 (CCPA/판례법) | 중국 (PIPL/데이터보안법) | 일본 (APPI) |
| 과징금/벌금 | 전체 매출액의 3% (상한), 감경 사유 다양 | 전 세계 매출액의 4% 또는 2천만 유로 중 큰 금액 | 연방 차원 규정 없음 (주별 상이), FTC 합의금 막대함 | 전년도 매출액의 5% (상한), 부당 이득 몰수 | 최대 1억 엔 벌금 (기업), 형사 처벌 병과 |
| 징벌적 손해배상 | 피해액의 3배~5배 (입증 책임이 피해자에게 있어 실효성 낮음) | 명시적 규정 없음 (강력한 행정 과징금으로 대체) | 징벌적 배상 및 집단소송(Class Action) 활발 | 징벌적 배상 규정 미비하나 행정 처벌이 강력 | 인정되지 않음 (실손해 배상 원칙) |
| 경영진 책임 | CISO 형사 처벌 가능성 존재, CEO는 면책 경향 강함 | 데이터 컨트롤러(법인) 중심 책임 | 주주 대표 소송 등을 통한 경영진 책임 추궁 | 경영진 개인에게 최대 100만 위안 벌금 및 업계 퇴출 | 행위자(임직원) 징역형 가능 |
| 소송 문화 | 집단소송제 제한적, 위자료 10~30만 원 수준 | 집단 소송 가능하나 미국보다 적음 | 천문학적 배상금 (수천억 원) 및 합의 종용 | 공익 소송 가능, 검찰 주도 기소 가능 | 소송보다는 사회적 평판 및 행정지도 중시 |
| 특이점 | CISO 지정 의무화 (형식적 운영 우려) | DPO(데이터보호관) 독립성 강력 보장 | 디스커버리(Discovery) 제도로 증거 확보 용이 | 국가 안보와 연계하여 경영진 직접 타격 | 사과 및 사회적 책임 문화 강함 |
4.2 미국: 시장의 공포가 만드는 보안 (Litigation & Discovery)
미국은 연방 차원의 단일 데이터 보호법은 부재하지만, 강력한 사법 시스템이 기업을 압박합니다.
집단소송(Class Action)과 징벌적 배상:
미국 기업들이 보안에 천문학적인 돈을 쏟아붓는 이유는 규제 때문이 아니라 소송 때문입니다. 2015년 앤섬(Anthem) 해킹 사건 당시 회사는 소송을 마무리하기 위해 1억 1,500만 달러(약 1,500억 원)라는 사상 최대 규모의 합의금을 지불했습니다.16 타겟(Target) 역시 데이터 유출로 인해 주 정부 합의금 1,850만 달러 외에, 소송 비용과 시스템 교체 비용으로 2억 달러 이상을 지출했습니다.17
디스커버리(Discovery) 제도의 위력:
한국과 가장 큰 차이점은 '증거개시(Discovery)' 제도입니다. 소송이 시작되면 기업은 원고(피해자) 측에 관련 내부 문건, 이메일, 보안 로그 등을 의무적으로 제출해야 합니다.18 이 과정에서 경영진이 보안 경고를 무시했거나 사고를 은폐하려 했던 정황이 드러나면 배상액은 기하급수적으로 늘어납니다. 한국에서는 기업이 "자료가 없다"고 잡아떼면 그만인 상황과 대조적으로, 미국에서는 은폐 자체가 불가능한 구조입니다. 이는 경영진으로 하여금 사고 발생 시 투명하게 대응하도록 강제하는 강력한 기제가 됩니다.
4.3 EU (GDPR): 데이터 주권과 매출액 기반 제재
EU의 GDPR은 기업보다 정보주체(개인)의 권리를 최우선시하며, 이를 침해한 기업에게는 가혹할 정도의 금전적 제재를 가합니다.
매출액 기반의 과징금:
GDPR 위반 시 부과되는 '전 세계 매출액의 4%'는 글로벌 빅테크 기업들에게도 공포의 대상입니다. 이는 해당 사업 부문의 매출이 아니라 그룹 전체의 매출을 기준으로 하기에, 자칫하면 기업의 존폐가 갈릴 수 있습니다.10 한국의 과징금이 '관련 매출액' 등으로 축소 해석되는 것과 달리, EU는 에누리 없는 집행을 통해 규제의 권위를 세웁니다.
DPO의 독립성:
GDPR은 데이터보호관(DPO)의 지정뿐만 아니라 그들의 독립성을 법적으로 강력하게 보장합니다. 경영진은 DPO가 업무 수행과 관련하여 불이익을 받지 않도록 해야 하며, DPO는 최고 경영진에게 직접 보고할 권한을 가집니다. 이는 한국의 CISO가 경영진의 눈치를 보는 구조와 근본적으로 다릅니다.
4.4 중국 (PIPL): 경영진의 목을 죄는 신상필벌(信賞必罰)
중국의 개인정보보호법(PIPL)은 개인의 권리 보호와 국가 안보를 동시에 추구하며, 특히 경영진 개인에 대한 직접적인 처벌 조항이 강력합니다.
임원 개인 처벌 및 자격 박탈:
PIPL은 법 위반 시 기업에 대한 벌금 외에도, 직접적인 책임이 있는 임원 및 기타 책임자에게 최대 100만 위안(약 1억 9천만 원)의 벌금을 부과할 수 있다고 명시합니다.20 더 나아가 위반 행위의 경중에 따라 해당 임원이 일정 기간 동안 이사, 감시인, 고위 관리자, 데이터 보호 책임자 등의 직책을 맡지 못하도록 금지할 수 있습니다.21 이는 직업적 생명을 끊어놓는 조치로, 중국 기업 경영진들이 보안 이슈를 최우선 순위로 챙길 수밖에 없게 만듭니다. 디디추싱(Didi Chuxing) 사례에서 보듯, 데이터 보안 위반은 곧 기업의 상장 폐지와 경영진의 몰락을 의미합니다.22
4.5 일본 (APPI): 사회적 책임과 평판 리스크
일본의 개인정보보호법(APPI)은 법적 제재와 더불어 기업의 사회적 평판을 중시하는 문화가 결합되어 있습니다. 과징금 액수 자체는 서구권에 비해 크지 않으나, 데이터 유출 사고 발생 시 경영진이 대중 앞에 나와 고개 숙여 사과하고 자진 사퇴하는 문화가 강합니다. 또한, 개정된 APPI는 법인에 대해 최대 1억 엔의 벌금을 부과할 수 있도록 상향 조정되었으며, 데이터 유출 시 개인정보보호위원회(PPC)에 대한 보고와 본인 통지를 의무화하여 투명성을 강화했습니다.23
5. 한국형 보안 거버넌스 혁신을 위한 제언
한국의 끊임없는 보안 사고 고리를 끊기 위해서는 땜질식 처방이 아닌, 법적 제재 강화, 거버넌스 개혁, 그리고 윤리적 문화 확산이라는 삼박자가 맞아떨어져야 합니다.
5.1 법적 제도 개선: '징벌'의 실질화와 입증 책임 전환
현재의 '3배 배상' 제도는 유명무실합니다. 이를 작동 가능한 제도로 바꿔야 합니다.
1.징벌적 손해배상제의 강화 및 하한선 도입: 현재 '손해액의 3배'로 규정된 배상액을 미국 수준의 징벌적 효력이 발생하도록 상향하거나, 고의·중과실이 명백한 경우 피해액 산정이 어렵더라도 법정 최소 배상액(Minimum Statutory Damages)을 높게 설정해야 합니다.24 예를 들어, 유출 1건당 최소 10만 원의 배상을 강제한다면, 3천만 건 유출 시 3조 원의 배상 책임이 발생하므로 기업은 보안에 사활을 걸 수밖에 없습니다.
2.입증 책임의 전환 (Reversal of Burden of Proof): 현재는 피해자가 기업의 고의나 과실을 입증해야 합니다. 그러나 정보의 비대칭성 때문에 이는 불가능에 가깝습니다. 법을 개정하여 "기업이 무과실을 입증하지 못하면 배상 책임이 있다"는 원칙을 확립해야 합니다.
3 한국형 디스커버리 제도 도입: 보안 사고 소송에 한해 제한적인 증거개시 제도를 도입하여, 피해자 측 전문가가 기업의 보안 로그와 내부 감사 보고서에 접근할 수 있도록 해야 합니다. 이는 사고 은폐 시도를 원천 봉쇄하는 효과를 가져올 것입니다.
5.2 거버넌스 개혁: C-Level의 책임 명문화 (Executive Liability)
CISO 뒤에 숨는 CEO를 끄집어내어 책임의 주체로 세워야 합니다.
1.CEO 및 등기이사의 직접 책임 강화: 중국 PIPL의 사례를 벤치마킹하여, 중대한 개인정보 유출 사고 발생 시 안전성 확보 조치를 소홀히 한 것이 확인되면 CEO 및 담당 등기이사에게 직접적인 행정 과태료 부과 및 직무 정지 명령을 내릴 수 있는 법적 근거를 마련해야 합니다.21 이는 경영진이 보안 예산을 삭감할 때 자신의 목을 걸고 서명하게 만드는 효과가 있습니다.
2.CISO의 독립성 및 권한 보장: CISO를 CEO 직속이 아닌 이사회(Board) 또는 감사위원회 직속 기구로 편제해야 합니다. 또한, 전체 IT 예산의 일정 비율(예: 10% 이상)을 보안 예산으로 강제 배정하고, 이에 대한 집행권과 거부권을 CISO에게 부여해야 합니다. CISO가 보안 위험을 경고했음에도 경영진이 이를 묵살하여 사고가 발생한 경우, CISO를 면책하고 경영진을 가중 처벌하는 조항이 필요합니다.
5.3 문화적 혁신: '윤리적 태도(Ethics Attitude)'와 CDR의 정착
법적 강제만으로는 한계가 있습니다. 기업 스스로가 보안을 윤리의 문제로 인식하도록 문화를 바꿔야 합니다.
1.CDR(Corporate Digital Responsibility) 도입 및 공시: 기업의 사회적 책임(CSR)을 넘어, 디지털 기술과 데이터 사용에 대한 '기업의 디지털 책임(CDR)' 개념을 도입해야 합니다.27 CDR 헌장을 제정하고, 데이터 프라이버시, 알고리즘 윤리, 디지털 형평성 등의 이행 내역을 매년 투명하게 공시하도록 유도해야 합니다.
2.보안 윤리 강령(Code of Ethics)의 내재화: BMS 등 글로벌 기업처럼 협력업체 및 내부 직원에게 강력한 보안 윤리 준수 서약을 받고, 이를 위반할 경우 즉각적인 계약 해지나 징계가 가능한 '무관용 원칙(Zero Tolerance)'을 적용해야 합니다.14 또한, 화이트 해커(White Hat) 윤리 교육을 강화하여 내부 직원이 유혹에 빠지지 않도록 해야 합니다.
3.ESG 평가 내 보안 지표의 실질화: 현재 미미한 수준인 ESG(환경·사회·지배구조) 평가 내 정보보호(Security) 항목의 비중을 대폭 늘려야 합니다. 국민연금 등 주요 기관투자자가 스튜어드십 코드를 발동하여, 보안 사고가 잦거나 보안 거버넌스가 취약한 기업에 대해서는 이사 재선임 반대 등 주주권을 적극 행사해야 합니다.31
6.결론: 신뢰 비용이 보안 비용보다 비싸야 한다
쿠팡의 3,370만 명 유출, 롯데카드의 200GB 유출, 그리고 통신사들의 반복된 사고는 한국 사회에 명확한 메시지를 던지고 있습니다. "보안 사고가 터져도 회사는 망하지 않고, 경영진은 다치지 않는다"는 잘못된 학습 효과가 시장을 지배하고 있다는 것입니다.
이 고리를 끊지 않는다면, 한국은 디지털 강국이 아니라 '데이터 유출 공화국'으로 전락할 것입니다.
해법은 명확합니다. 보안 실패의 비용을 보안 투자의 비용보다 압도적으로 높이는 것입니다. 이를 위해 미국식의 천문학적 소송 리스크(Punitive Damages & Discovery)와 중국식의 강력한 경영진 신분 제재(Executive Liability), 그리고 유럽식의 매출액 기반 과징금 제도를 한국의 실정에 맞게 융합해야 합니다.
더불어, 기업 경영진은 보안을 더 이상 귀찮은 규제가 아닌 '고객에 대한 가장 기본적인 윤리적 태도(Ethics Attitude)'로 재정의해야 합니다. 고객의 정보를 지키지 못하는 기업은 시장에서 도태될 수밖에 없다는 냉혹한 현실을 법과 제도가 증명해 보일 때, 비로소 대한민국 사이버 보안의 잃어버린 신뢰를 회복할 수 있을 것입니다.
#개인정보유출 #쿠팡해킹 #데이터보안 #CDR #기업디지털책임 #징벌적손해배상 #보안거버넌스 #윤리적태도 #GDPR #집단소송 #SKT해킹 #롯데카드유출 #CISO #정보보호 #사이버보안 #브랜든AI윤리 #BrandonEthics #DataPrivacy #CyberSecurity
Strategic Analysis of Data Security Crisis in Korea: Diagnosing Structural Flaws and Transitioning to Ethical Governance
Subtitle: A Reconstruction Strategy via Punitive Damages and Corporate Digital Responsibility (CDR) following the Chain Breaches at Coupang, SKT, and Lotte Card
Author: Senior Cyber Policy Analyst & Risk Governance Specialist
Date: November 29, 2025
1. Introduction: The Paradox of a Hyper-Connected Society and the Collapse of Trust
The year 2025 will be recorded as the year of "Data Disaster" in South Korea. While Digital Transformation accelerates, underpinning national infrastructure and economic activities with data, the security governance supporting it remains stuck in a pre-modern "Compliance" level. Specifically, the massive data breach at Coupang, the nation's largest e-commerce company, in November 2025, affecting 33.7 million users, is a symbolic event revealing the widespread "security insensitivity" and absence of "Ethics Attitude" in the Korean corporate ecosystem.1 Despite the leakage of real-world crime-enabling information such as real names, emails, and delivery addresses of more than half the population, the company's initial response was close to reduction and concealment, repeating the old practice of management hiding behind the veil of legal responsibility.2
The problem is that this is not a deviation of a single company. From SK Telecom (SKT) and KT, responsible for the national backbone network, to Lotte Card, the vein of finance, the serial massive breaches occurring throughout 2024 and 2025 suggest that Korea's security system is in a total crisis.3 Companies treat security only as a "Cost" while generating immense profits, neglecting investment. When accidents occur, the practice of "tail cutting"—evading C-Level responsibility by using the Chief Information Security Officer (CISO) or working-level staff as shields—has become entrenched.6
This report thoroughly analyzes the common patterns of these Korean-style security accidents and seeks solutions to break them. In particular, to overcome the limitations of current legal sanctions criticized as "cotton bat punishments," we compare and analyze advanced cases from the US, EU, China, and Japan. Through this, we propose concrete measures for introducing effective "Punitive Damages" and establishing "Corporate Digital Responsibility (CDR)" and "Ethics Attitude" beyond simple CSR. It is time to face the fact that while data is called the oil of the 4th Industrial Revolution, unmanaged oil is no different from explosives.
2. In-Depth Case Studies of Major Security Incidents in 2024-2025
Korean security accidents clearly stem from defects in governance and ethics rather than technical flaws. We dissect the structural causes through three major recent incidents.
2.1 Coupang: The Leak of 33.7 Million Users and the Collapse of Internal Control
The Coupang personal information leak confirmed on November 29, 2025, will remain a stain on Korean security history in terms of scale and nature.
Reconstruction of the Incident and Impact:
Initially, Coupang announced the scale of damage as about 4,500 accounts, but precise investigation revealed that 33.7 million accounts—7,500 times the initial figure—were leaked.1 The leaked information includes customers' names, emails, and even names and phone numbers of third parties stored in delivery address books, raising a very high possibility of leading to secondary crimes such as voice phishing or stalking.
Core Issue: The Disappearance of 'Ethics Attitude':
The most serious problem is the company's ethical attitude revealed during the response process. The infringement activity started on June 24, but the company only recognized and announced it in November. The failure to detect customer information being exposed defenselessly for about 5 months signifies the incompetence of the security monitoring system. Moreover, in the initial response stage, they emphasized the act of a third party, stating "there is no trace of external intrusion," but eventually, suspicions of information leakage by an internal employee were captured, leading to a police complaint.2 This suggests that the Internal Control system did not function and shows a typical "bad response" case of Korean companies prioritizing responsibility avoidance over transparent disclosure immediately after an accident.
2.2 Lotte Card: The Illusion of Financial Security and Absence of Governance
The Lotte Card incident in August 2025 is distinctively serious given the sensitivity of financial information.
Overview of the Incident:
About 2.97 million customer records were leaked, with the volume of leaked data reaching 200GB. It included not only simple personal identification information but also fatal information that could be directly abused for financial payments, such as encrypted card numbers, validity periods, CVC codes, and passwords.8
Structural Cause: Private Equity System and Suspicion of Reduced Security Investment:
Security experts point to the "absence of security governance" as the cause of this incident. It is particularly noteworthy that Lotte Card's major shareholder is a Private Equity Fund (PEF). Due to the nature of PEFs, which must realize profits from sales by increasing corporate value within a short period, there is a possibility that investment in security infrastructure and professional personnel, which requires a long-term perspective, was pushed back.8 The failure to detect traffic where a massive amount of data (200GB) was leaking externally over a long period proves that even basic anomaly detection systems were not properly equipped or operational personnel were insufficient. This is a typical man-made disaster occurring when management perceives security as a "cost" to be reduced rather than an "investment."
2.3 SKT & KT: The Recurring Nightmare of Backbone Networks
The security posture of key telecommunications operators directly linked to national security is also at a serious level.
Technical Vulnerability and Complacency:
In the case of SK Telecom, despite hackers penetrating through the system management network, installing malware (Webshell, BPFDoor), and lurking for a long time, it failed to recognize this.9 This means that the network separation policy has become a mere formality in the field. KT and LG U+ also faced ceaseless hacking suspicions and leakage accidents throughout 2025.5 While the three telecom companies enjoy oligopolistic status and reap huge operating profits, it is difficult to avoid criticism that they have been stingy with security investments to protect customer information. Especially in the case of the SKT incident, despite the government acknowledging the company's attributable reasons, the Korean legal reality, which does not lead to large-scale lawsuits or punitive damages, fuels corporate moral hazard.
2.4 Analysis of Common DNA in Korean Security Accidents
Synthesizing the above cases, several common DNAs penetrating Korean-style security accidents are discovered.
1.Failure of Zero Trust (Internal Threat Management): Both Coupang and SKT cases started from negligence in internal account management or malicious acts by insiders. The outdated security model relying solely on "Perimeter Security" and unconditionally trusting insiders remains mainstream.
2.Delayed Response and Shifting Blame: Instead of immediate apologies and compensation plans after an accident, attempts to delay announcements or reduce the scale of damage under the pretext of legal review are repeated. This stems from a misguided "Ethics Attitude" prioritizing legal risk management over customer trust.
3.Management's Safe Zone: Cases where CEOs are dismissed or criminally punished even when tens of millions of records are stolen are extremely rare. All responsibility is transferred to the CISO, a working-level executive, giving management a wrong signal that "security accidents are just one of the business risks, not a matter of survival."
3. Structural Root Cause Analysis: Why Do Korean Companies Not Change?
The reason companies do not change despite repeated accidents is clear. Under the current legal and institutional environment, it is economically more "profitable" to pay fines after an accident than to invest in security.
3.1 Cotton Bat Punishment and Economic Analysis
Korea's Personal Information Protection Act was amended to raise the upper limit of fines to "3% of total sales." While it looks strong on the surface, it remains a "cotton bat" in reality.
The Aesthetics of Mitigation (?) and Lack of Effectiveness:
Although the legal upper limit is 3%, various mitigation reasons are applied during the actual imposition process. Fines are drastically cut due to the ambiguity of calculating "sales related to the violation," efforts for corrective measures after the accident, and management difficulties.10 In contrast, the EU's GDPR imposes "4% of global turnover" and strictly applies mitigation reasons to inflict damage threatening the company's existence. For Korean corporate management, fines at the level of several billion won are perceived as an "Affordable Cost" compared to sales of trillions of won generated annually.
Void of Criminal Punishment:
Even if a key telecommunications operator like SKT leaks information due to gross negligence, direct criminal punishment regulations for the lack of safety measures under current laws are insufficient, or even if applied, they often end in fines. Even legal experts point out that "it is a privilege for companies monopolizing national key businesses and enjoying benefits not to bear criminal responsibility for violations of security obligations".6
3.2 C-Level's Responsibility Avoidance Structure and 'Scapegoat CISO'
Korea's 'Information and Communications Network Act' and 'Personal Information Protection Act' mandate the designation of a Chief Information Security Officer (CISO). The original intent was to have an executive with expertise take responsibility for security, but in reality, it has degenerated into an indulgence for the CEO.
Responsibility without Authority:
In most Korean companies, the CISO is organized as a subordinate organization to the CEO or CFO. While the heavy burden of legal responsibility is placed on the CISO, a mismatch of "authority and responsibility" occurs where budget execution rights or personnel rights to carry this out are not granted.7 It is a structure where if a proposal to increase security investment is made, the finance line cuts it saying "it does not help profitability," and if an accident occurs, they are disciplined saying "the CISO failed to prevent it."
Agency Problem:
CEOs tend to be considered as having fulfilled their legal obligations by appointing a CISO. Some companies even appoint nominal executives to meet the CISO qualification requirements or have them concurrently hold other duties, making the system a mere skeleton.11 Under this structure, CEOs can dismiss security accidents as "mistakes of the technical department" rather than their own responsibility.
3.3 Structural Deficit of 'Ethics Attitude'
While global leading companies approach security from the perspective of "Trust" and "Ethics," Korean companies approach it as a simple "Regulatory Compliance" issue.
Contrast with BMS (Bristol Myers Squibb) Case:
In the case of global pharmaceutical company BMS, it demands equivalent levels of information protection and ethical management from partners through the "Third Party Business Ethics Standards." If a partner does not comply or conceals a security accident, they maintain a strong "Ethics Attitude" of immediately terminating the contract.14 This is a view of seeing security as an essential requirement for maintaining the soundness of the entire corporate ecosystem.
On the other hand, when accidents occur, Korean companies are only engrossed in reducing fines by hiring large law firms and are passive about sincere apologies to victims or fundamental improvement of corporate culture. This is evidence that management perceives security accidents as "bad luck" rather than a "crime."
4. Global Comparative Analysis: Governance in Korea, USA, China, Japan, and EU
To innovate Korea's security level, we must compare legal regulations and corporate responsibilities of each country to derive implications. Each country enforces corporate security responsibilities in different ways according to its unique legal system and cultural background.
4.1 Comparative Summary Table
| Feature | Korea (PIPA/Network Act) | EU (GDPR) | USA (CCPA/Case Law) | China (PIPL/Data Security Law) | Japan (APPI) |
| Fines/Penalties | Max 3% of total sales (mitigation common) | 4% of Global Turnover or €20M (whichever is higher) | No federal regulation (varies by state), FTC settlements are massive | Max 5% of prior year's revenue, confiscation of illegal gains | Max 100M JPY fine (corporate), criminal punishment possible |
| Punitive Damages | 3-5x damages (burden of proof on victim, low effectiveness) | No explicit regulation (replaced by strong admin fines) | Punitive Damages & Class Actions Active | Punitive damage regulations weak but admin punishment is strong | Not recognized (principle of actual damage compensation) |
| Executive Liability | CISO criminal punishment possible, CEO often exempt | Data Controller (Legal Entity) centered responsibility | Responsibility pursued through shareholder derivative suits | Personal fine up to 1M CNY & Industry Exit for Executives | Actor (Employee) imprisonment possible |
| Litigation Culture | Limited class actions, consolation money 100-300K KRW | Class actions possible but less than US | Astronomical compensation (Trillions KRW) & Settlement Pressure | Public interest litigation possible, prosecution-led indictment | Social reputation & administrative guidance valued over litigation |
| Distinctive Point | Mandatory CISO designation (concern of formal operation) | Strong guarantee of DPO independence | Discovery System facilitates evidence acquisition | Direct hit on executives linked to National Security | Strong culture of apology and social responsibility |
4.2 USA: Security Created by Market Fear (Litigation & Discovery)
The US lacks a single federal data protection law, but a powerful judicial system pressures companies.
Class Action and Punitive Damages:
The reason US companies pour astronomical amounts into security is not due to regulation but litigation. In the 2015 Anthem hacking incident, the company paid a record settlement of $115 million (approx. 150 billion KRW) to settle the lawsuit.16 Target also spent over $200 million in settlement costs and system replacement costs, in addition to $18.5 million in state government settlements due to data leakage.17
Power of the Discovery System:
The biggest difference from Korea is the "Discovery" system. When a lawsuit begins, the company must obligatorily submit relevant internal documents, emails, security logs, etc., to the plaintiff (victim).18 In this process, if circumstances reveal that management ignored security warnings or attempted to cover up the accident, the compensation amount increases exponentially. Contrary to Korea where companies can just claim "there are no records," concealment itself is impossible in the US structure. This becomes a powerful mechanism forcing management to respond transparently when accidents occur.
4.3 EU (GDPR): Data Sovereignty and Revenue-Based Sanctions
The EU's GDPR prioritizes the rights of the data subject (individual) over the company and imposes severe financial sanctions on companies that infringe upon them.
Revenue-Based Fines:
The "4% of global turnover" imposed for GDPR violations is a subject of fear even for global big tech companies. Since this is based on the revenue of the entire group, not the relevant business sector, it can determine the fate of the company.10 Unlike Korea, where fines are interpreted reduced to "relevant sales," the EU establishes the authority of regulation through enforcement without discounts.
Independence of DPO:
GDPR legally strongly guarantees not only the designation of the Data Protection Officer (DPO) but also their independence. Management must ensure that the DPO does not suffer disadvantages regarding the performance of duties, and the DPO has the authority to report directly to top management. This is fundamentally different from the structure where the Korean CISO is wary of management.
4.4 China (PIPL): Punishment and Reward Tightening Executive's Neck
China's Personal Information Protection Law (PIPL) pursues individual rights protection and national security simultaneously, and specifically contains strong direct punishment clauses for individual executives.
Personal Punishment and Disqualification of Executives:
PIPL specifies that in addition to fines on the company for violations, fines of up to 1 million yuan (approx. 190 million KRW) can be imposed on executives and other responsible persons directly responsible.20 Furthermore, depending on the severity of the violation, it can ban the relevant executive from holding positions such as director, supervisor, senior manager, or data protection officer for a certain period.21 This is a measure that cuts off professional life, forcing Chinese corporate management to prioritize security issues. As seen in the Didi Chuxing case, data security violation implies corporate delisting and the downfall of management.22
4.5 Japan (APPI): Social Responsibility and Reputation Risk
Japan's Act on the Protection of Personal Information (APPI) combines legal sanctions with a culture that values corporate social reputation. While the fine amount itself is not large compared to the West, there is a strong culture where management bows down in apology before the public and voluntarily resigns when a data leak occurs. Also, the amended APPI raised the maximum fine for corporations to 100 million yen and strengthened transparency by mandating reports to the Personal Information Protection Commission (PPC) and notification to individuals in case of data leakage.23
5. Proposals for Innovation of Korean Security Governance
To break the endless chain of security accidents in Korea, legal sanction strengthening, governance reform, and the spread of ethical culture must come together, not makeshift prescriptions.
5.1 Legal System Improvement: Substantiation of 'Punishment' and Reversal of Burden of Proof
The current "3x damages" system is nominal. It must be changed into a workable system.
1.Strengthening Punitive Damages & Introducing Minimum Statutory Damages: The compensation amount currently defined as "3 times the damage" should be raised to generate punitive effects at the US level, or if calculation of damage is difficult in cases of clear malice/gross negligence, Minimum Statutory Damages should be set high.24 For example, if a minimum compensation of 100,000 KRW per leak is mandated, a 30 million record leak would result in a liability of 3 trillion KRW, forcing companies to bet their lives on security.
2.Reversal of Burden of Proof: Currently, victims must prove the company's malice or negligence. However, due to information asymmetry, this is nearly impossible. The law should be amended to establish the principle that "if the company cannot prove non-negligence, it is liable for compensation."
3.Introduction of Korean-style Discovery System: Introduce a limited discovery system for security accident litigation, allowing experts on the victim's side to access corporate security logs and internal audit reports. This will fundamentally block attempts to cover up accidents.
5.2 Governance Reform: Clarifying C-Level Responsibility (Executive Liability)
The CEO hiding behind the CISO must be brought out and established as the subject of responsibility.
1.Strengthening Direct Responsibility of CEO and Directors: Benchmarking the Chinese PIPL case, legal grounds should be prepared to impose direct administrative fines and duty suspension orders on the CEO and responsible directors if it is confirmed that they neglected safety measures when a major personal information leak occurs.21 This has the effect of making management sign with their necks on the line when cutting security budgets.
2.Guaranteeing CISO Independence and Authority: The CISO should be organized as an organization directly under the Board of Directors or Audit Committee, not directly under the CEO. Also, a certain percentage of the total IT budget (e.g., over 10%) should be mandatorily allocated as security budget, and execution rights and veto rights should be granted to the CISO. If an accident occurs because management ignored the CISO's warning of security risks, a clause exempting the CISO and aggravating punishment for management is necessary.
5.3 Cultural Innovation: Settlement of 'Ethics Attitude' and CDR
Legal enforcement alone has limits. The culture must be changed so that companies themselves perceive security as an issue of ethics.
1. Introduction and Disclosure of CDR (Corporate Digital Responsibility): Beyond Corporate Social Responsibility (CSR), the concept of 'Corporate Digital Responsibility (CDR)' regarding digital technology and data use should be introduced.27 Companies should be induced to enact CDR charters and transparently disclose implementation details of data privacy, algorithmic ethics, and digital equity annually.
2. Internalization of Code of Ethics: Like global companies such as BMS, powerful security ethics compliance pledges should be obtained from partners and internal employees, and a 'Zero Tolerance' principle allowing immediate contract termination or discipline upon violation should be applied.14 Also, White Hat ethics education should be strengthened to prevent internal employees from falling into temptation.
3.Substantiation of Security Indicators in ESG Evaluation: The weight of the Security item in ESG (Environmental, Social, Governance) evaluation, which is currently at a minimal level, should be significantly increased. Major institutional investors like the National Pension Service should invoke Stewardship Codes to actively exercise shareholder rights, such as opposing the reappointment of directors, for companies with frequent security accidents or weak security governance.31
6. Conclusion: The Cost of Trust Must Be Higher Than the Cost of Security
The leak of 33.7 million users by Coupang, 200GB by Lotte Card, and the repeated accidents by telecom companies are sending a clear message to Korean society. A wrong learning effect that "even if a security accident explodes, the company does not fail, and management does not get hurt" is dominating the market. Unless this chain is broken, Korea will degrade into a "Data Leak Republic" rather than a digital powerhouse.
The solution is clear. Make the cost of security failure overwhelmingly higher than the cost of security investment. To this end, the astronomical litigation risk of the US style (Punitive Damages & Discovery), the strong executive status sanction of the Chinese style (Executive Liability), and the revenue-based fine system of the European style must be fused to fit Korea's reality.
In addition, corporate management must redefine security not as a bothersome regulation anymore but as the 'most basic Ethical Attitude towards customers.' When laws and institutions prove the harsh reality that companies failing to protect customer information inevitably fall out of the market, only then can the lost trust in South Korea's cybersecurity be restored.
참고 자료
1. 쿠팡 개인정보 유출 3천370만 계정⋯초기 발표의 7천500배, https://www.foeconomy.co.kr/id/0WdwYXEFXhMbiAeX8ZIg
2. 쿠팡 정보 노출은 내부 직원 소행? 경찰에 고소, https://www.chosun.com/economy/market_trend/2025/11/29/ADVVLDG56ZHHLDANEWMBDI6JIM/
3. 롯데카드 개인신용정보 유출 사고 - 나무위키, https://namu.wiki/w/%EB%A1%AF%EB%8D%B0%EC%B9%B4%EB%93%9C%20%EA%B0%9C%EC%9D%B8%EC%8B%A0%EC%9A%A9%EC%A0%95%EB%B3%B4%20%EC%9C%A0%EC%B6%9C%20%EC%82%AC%EA%B3%A0
4. 2025년 10월 1주 주간뉴스 : SK텔레콤-개인정보보호위 1300억 과징금 법적 공방 전망, 형평성 및 산정 기준 '핵심 쟁점' | 지키다(ZIKIDA), https://www.zikida.com/news/296
5. 2025년 KT·LG U+ 해킹 의혹 - 나무위키, https://namu.wiki/w/2025%EB%85%84%20KT%C2%B7LG%20U%2B%20%ED%95%B4%ED%82%B9%20%EC%9D%98%ED%98%B9
6. 정보통신망법, 개인정보보호법 개정 필요 더 이상 솜방망이 처벌 NO!! | SKT 유심 해킹 사건, https://www.youtube.com/watch?v=Y-oB0_Q6KXw
7. 2025년 7월 3주 주간뉴스 : 대법원, 개인정보 보호법 상 '이용'을 정의한 최초의 판결 선고, https://www.zikida.com/news/275
8. 2025년 대한민국을 뒤흔든 정보유출 대란: 통신사와 카드사 보안사고를 통해 본 정보보안 현황과 대응 전략 - 지니언스, https://www.genians.co.kr/blog/data_leak
9. SK텔레콤 유심 정보 유출 사고 - 나무위키, https://namu.wiki/w/SK%ED%85%94%EB%A0%88%EC%BD%A4%20%EC%9C%A0%EC%8B%AC%20%EC%A0%95%EB%B3%B4%20%EC%9C%A0%EC%B6%9C%20%EC%82%AC%EA%B3%A0
10. South Korea data protection law (PIPA): Everything you need to know - Didomi, https://www.didomi.io/blog/south-korea-pipa-everything-you-need-to-know
11. 정보보호최고책임자(CISO) 지정ᆞ신고 제도 안내 - 중앙전파관리소, https://www.crms.go.kr/download.do;jsessionid=LbvuTZ7pG3JjmP9sVAs31v2p.node10?uuid=e4180675-4041-4582-92b0-7f265ebf490d
12. 정보보호 최고 책임자(CISO) 신고 기준이 어떻게 되는지 궁금합니다. : CELA Blog, https://www.cela.kr/blog/?bmode=view&idx=161626484
13. 정보보호 최고책임자(CISO)의 겸직금지 위반시 제재 | 인터넷ㆍ방송ㆍ통신 - 네플라(NEPLA, https://www.nepla.ai/wiki/it-%EC%A0%95%EB%B3%B4-%EB%B0%A9%EC%86%A1%ED%86%B5%EC%8B%A0/%EC%9D%B8%ED%84%B0%EB%84%B7-%EB%B0%A9%EC%86%A1-%ED%86%B5%EC%8B%A0/%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8-%EC%B5%9C%EA%B3%A0%EC%B1%85%EC%9E%84%EC%9E%90-ciso-%EC%9D%98-%EA%B2%B8%EC%A7%81-%EA%B0%80%EB%8A%A5-%EB%B2%94%EC%9C%84/%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8-%EC%B5%9C%EA%B3%A0%EC%B1%85%EC%9E%84%EC%9E%90-ciso-%EC%9D%98-%EA%B2%B8%EC%A7%81%EA%B8%88%EC%A7%80-%EC%9C%84%EB%B0%98%EC%8B%9C-%EC%A0%9C%EC%9E%AC-54gnvel081pr
14. 제3자에 대한 비즈니스 윤리 행동 기준, https://www.bms.com/assets/bms/us/en-us/pdf/standards/Korean-3PStandards.pdf
15. 우리의 업무 행동 및 윤리 규범, https://www.bms.com/assets/bms/us/en-us/pdf/principles-of-integrity/korean-principles-of-integrity.pdf
16. Judge Grants Final Approval of Record Data Breach Settlement in Anthem Class Action, https://www.hunton.com/privacy-and-information-security-law/judge-grants-final-approval-record-data-breach-settlement-anthem-class-action
17. Data Breach Settlement - Class Action Lawsuits, https://www.classaction.com/data-breach/settlement/
18. From Breach to Courtroom: Navigating the Rising Tide of Data Litigation - AXA XL, https://axaxl.com/fast-fast-forward/articles/from-breach-to-courtroom_navigating-the-rising-tide-of-data-litigation
19. 3 Years Later: An Analysis of GDPR Enforcement | Strategic Technologies Blog - CSIS, https://www.csis.org/blogs/strategic-technologies-blog/3-years-later-analysis-gdpr-enforcement
20. Challenges Under New Personal Information Protection Regime in China - Faegre Drinker https://www.faegredrinker.com/en/insights/publications/2021/8/challenges-under-new-personal-information-protection-regime-in-china
21. China's Personal Information Protection Law - Licks Attorneys, https://www.lickslegal.com/post/chinas-personal-information-protection-law
22. Didi fined $1.2B for breaching China's data security laws - Moulis Legal, https://moulislegal.com/knowledge-centre/didi-fined-1-2b-for-breaching-china-s-data-security-laws/
23. Data protection laws in Japan, https://www.dlapiperdataprotection.com/index.html?t=law&c=JP
24. Regulators, Enforcement Priorities and Penalties | South Korea | Global Data and Cyber Handbook | Baker McKenzie Resource Hub, https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/south-korea/topics/regulators-enforcement-priorities-and-penalties
25. Data protection laws in South Korea, https://www.dlapiperdataprotection.com/index.html?c=KR&t=law
26. Personal Information Protection Law: China's GDPR Is Coming - Morgan Lewis, https://www.morganlewis.com/pubs/2021/08/personal-information-protection-law-chinas-gdpr-is-coming
27. Corporate Digital Responsibility < ShinhanCard, https://www.shinhancard.com/pconts/company/ehtml/ENCOM05/ENCOM05E/ENCOM05E1.html
28. (PDF) Corporate Digital Responsibility - ResearchGate, https://www.researchgate.net/publication/361946343_Corporate_Digital_Responsibility
29. What is corporate digital responsibility (CDR)? - Dentons, https://www.dentons.com/en/insights/articles/2022/december/22/what-is-corporate-digital-responsibility
30. Code Of Ethics | EC-Council, https://www.eccouncil.org/code-of-ethics/
31. ESG 평가시장의 투명성‧신뢰성 제고방안 - 금융위원회, https://www.fsc.go.kr/comm/getFile?srvcId=BBSTY1&upperNo=80037&fileTy=ATTACH&fileNo=4
32. ESG공시 의무화와 청렴윤리경영 - 국민권익위원회, https://www.acrc.go.kr/briefs/0cfd3ad6209101fcd6e4b29b7705e54f2a80180ae4b8a65446f364991b772f2d/img/bro.pdf
'닥터 브랜든 모드 진료실 > AI윤리 심층 진단' 카테고리의 다른 글
| [심층연구] 슈타지의 ‘영혼 파괴’에서 AI의 ‘행동 조작’까지: 디지털 판옵티콘의 도래 (0) | 2026.01.01 |
|---|---|
| 2025년 동지(冬至)와 애동지의 민속학적 고찰: 역사적 유래, 국제적 비교 및 현대적 계승 방안에 대한 심층 보고서 (0) | 2025.12.22 |
| "커피는 번호로, 환자는 이름으로??? (0) | 2025.11.10 |
| AI 리터러시, '무엇을 아는가'에서 '어떻게 대하는가'로: 윤리와 태도 중심의 심층 보고서 (0) | 2025.11.03 |
| “AI 시대의 개미와 배짱이: 윤리 없는 창의성, 쉼 없는 완벽함의 종말” (0) | 2025.10.30 |
