P & J

4차 산업혁명과 디지털 전환의 가속화로 인하여 인공지능(AI) 및 사이버 보안 리스크는더 이상 단순한 IT 관리 차원의 문제가 아니라, 기업의 존속과 주주 이익에 중대한 영향을미치는 핵심적인 사업 위험으로 부상하였다. 최근 대법원은 유니온스틸 사건 및 대우건설사건 판결 등을 통해 이사의 감시의무를 사후적 위법 행위의 적발에 한정하지 않고, 평시합리적인 내부통제시스템을 구축·운영하여 위험을 예방할 것을 요구하는 이른바 ‘시스템기반 책임’으로 그 내용을 강화하였다. 더 나아가 2025년 개정 상법은 이사의 충실의무대상을 ‘회사’뿐만 아니라 ‘주주’로까지 명시적으로 확장함으로써, AI 및 사이버 위험 관리의 실패가 곧바로 주주 이익 침해로 평가될 수 있는 법적 환경을 조성하였다. 그러나 금융회사와 달리 일반 기업의 경우 상법상 내부통제시스템 구축·운영 의무에 관한명문 규정이 존재하지 않아, 이사의 책임 범위와 판단 기준을 둘러싼 법적 불확실성과 규제비대칭성이 심화되고 있다. 이에 이 글에서는 AI 및 사이버 위험이 구조화·상시화된 환경에서 이사의 감시의무를 실효적으로 재정립하기 위하여 미국, EU, 영국, 싱가포르, 일본의관련 법제 및 규제 모델을 비교·분석하였다. 분석 결과, 미국은 판례법과 공시 제도를 통한시장 규율을 중시하는 반면, EU는 경영진 개인에 대한 제재를 포함하는 강행 규범 중심의규제 모델을 채택하고 있으며, 영국과 싱가포르는 고위 경영진의 책임을 구조적으로 배분하는 ‘책무구조도(Responsibility Map)’ 제도를 운용하고 있음을 확인하였다. 이러한 비교법적 검토를 토대로 이 글에서는 이사회의 내부통제 의무 명문화, 비금융 핵심 인프라 기업에 대한 책무구조도 제도의 단계적 확대, 그리고 합리적 절차 이행 시 책임을제한하는 경영판단의 원칙 적용 기준의 구체화를 핵심으로 하는 ‘한국형 하이브리드 거버넌스 모델’을 제안한다. 이 글에서는 금융권을 중심으로 발전해 온 내부통제 및 이사 책임법리를 일반 테크 기업의 AI·사이버 리스크 관리 영역에 접목함으로써, AI 기술 위험을 기업지배구조의 핵심 의제로 편입시키고 실질적으로 작동 가능한 위험 관리 체계 구축을 위한법제적 시사점을 제시한다는 점에서 의의를 가진다.

With the acceleration of the 4th Industrial Revolution and digital transformation, artificial intelligence (AI) and cybersecurity risks have transcended the realm of tactical IT management to become ‘Mission Critical Risks’ that determine a corporation’s survival. Recent South Korean Supreme Court precedents (e.g., Union Steel and Daewoo E&C cases) have strengthened the standard for a director’s duty of oversight, shifting it toward a ‘System-Based Liability’ that requires the proactive establishment and operation of reasonable internal control systems. Notably, the 2025 amendment to the Commercial Code expanded the director’s duty of loyalty to include both the ‘company and its shareholders,’ creating a legal environment where failures in cyber risk management can directly result in breaches of shareholder interests. However, unlike the financial sector, general enterprises face intensified legal uncertainty and regulatory asymmetry due to the absence of explicit statutory provisions regarding internal control obligations. To effectively reconstruct the duty of oversight in the AI and cyber risk environment, this study conducts a comparative analysis of regulatory models in the U.S., EU, U.K., Singapore, and Japan. The analysis confirms that while the U.S. emphasizes market discipline through case law and disclosure, the EU adopts mandatory norms including individual sanctions on management, and the U.K. and Singapore utilize the ‘Responsibility Map’ system to clearly allocate accountability among senior executives. Based on these findings, this study proposes a ‘Korean Hybrid Governance Model’ for the AI-era cyber compliance framework. From a legislative perspective, the obligation to establish internal control systems should be codified in the Commercial Code. In terms of policy, the ‘Responsibility Map’ currently implemented in the financial sector should be expanded to non-financial enterprises providing core national services, such as data center operators and large-scale platforms, to structuralize the accountability of executives including the CISO, CPO, and CAIO. Judicially, the study suggests clarifying the criteria for ‘Procedural Immunity’ (derived from the Business Judgment Rule) to exempt directors from liability for consequential failures if they have followed reasonable procedures, such as consulting experts and conducting regular risk assessments, thereby harmonizing corporate innovation with legal stability. This research is significant in that it integrates the legal principles of internal control from the financial sector into the risk management of general tech enterprises, incorporating AI technology risks into the core agenda of corporate governance and presenting legislative alternatives for an effective risk management system.

AI Compliance, Director’s Duty of Oversight, Responsibility Map, , System-Based Liability, Business Judgment Rule