Earticle

정보유출방지는 기업과 클라우드 서비스 업체들이 해결해야 할 가장 기본적인 보안 문제이다. 최근 많은 기업들이 BYOD환경을 채택하고 실현함으로써, 기업정 보 유출에 대한 문제가 더욱 심각해지고 있다. 특히 직원의 부주의로 인한 기밀 유출사고의 비중이 높아지면서 기밀유출을 사전에 차단시킬 수 있는 다양한 기 술의 연구개발이 요구되고 있다. 본 논문에서는 BYOD환경에서 직원의 모바일 디바이스 안에 기밀 정보가 포함되어있는지 탐지해내는 새로운 스캐닝 기술을 제안한다. 제안하는 알고리즘을 사용하면, 서버에 비해 하드웨어 리소스가 빈약 한 모바일 디바이스에서도 서버의 컴퓨팅 자원을 최대한 활용하여 효율적으로 자체 스캐닝 작업 수행이 가능해진다. 그리고 해시함수와 자카르드 컨테인먼트 (Jaccard containment)값 측정 기반으로 알고리즘이 동작하기 때문에, 스캐닝 작업이 수행되더라도 직원의 프라이버시를 보호하면서 기밀 유출을 탐지할 수 있다. 또한 통계적 이론을 활용한 샘플링과 확률모델을 접목시켜 네트워크 트래 픽 규모를 줄이고, 적은양의 샘플로 기밀 유출을 탐지할 수 있다.

Data leakage accidents are more likely to happen in BYOD(bring your own device) by unintentional but careless employees. We present a new data leakage prevention method that can find any file in employees’ devices containing confidential contents stored in the company’s cloud server. We propose an innovative file comparison algorithm that not only estimates Jaccard containment as accurate as traditional algorithms, but also save computational resources by orders of magnitude. The proposed scheme processes only a fixed number of bytes over any file of any size. This distinguished feature allows mobile devices to save an unprecedented amount of resources; experiments show that the operational cost is reduced to 1/10,000 of the rival schemes, and the volume of network traffic to 1/256.

공공과 민간을 막론하고 산업보안 위협이 날로 심각해지고 있는 상황에서 각 국의 정보기관은 세계적인 정보 전쟁에 대비하고 산업정보활동을 강화해야 할 책무가 있다. 이에 우리의 국가정보원은 ‘제로데이 취약점’연구 차원에서 이 탈리아 ‘해킹팀’의 원격조종시스템(RCS) 프로그램을 구입한 바 있다. 최근 야 당에서는 이러한 사실을 정쟁의 대상으로 삼아 국가정보원의 정보활동 능력과 범위에 대한 국민적 불안을 조성하고 있으므로 국가정보원이 의혹과 불신을 벗 고 본연의 임무에 전념할 수 있도록 그 역량을 강화하는 방안이 제시될 필요가 있다. 본 연구에서는 산업보안과 관련성 있는 기존의 연구에서 명확히 규명되지 않 았던 국가정보원의 법적·실무적 역할을 검토함으로써 중요 요인을 정립하였다. ‘산업기술 유출차단’, ‘거버넌스 체계 구축’. ‘침해대응 및 복구’. ‘산업보안 지원활동’을 4가지 영역으로 구분하고 세부 역할을 도출하였으며, 전문가와 일 반인 설문 조사를 통해 역할의 우선순위와 현 수준을 분간석하였다. AHP (Analytic Hierarchy Process)와 IPA(Importance Performance Analysis)기법을 활용하여 분석한 결과 전문가와 일반인의 시각 차이가 존재하였고, 이를 귀납하 여 산업보안 활동의 패러다임 전환, 수집 정보의 활용성 제고, 국가정보원 중심 의 거버넌스 체계 구축 및 신속한 침해대응·복구 체제 마련 등 산업보안을 위 한 국가정보원의 구체적 혁신 방안을 도출하였다

Regardless of the public and private sectors, industrial security threats have been radically grown. In this situation, national-intelligence-agencies of various countries are responsible for preparation for info-war and intensification of industrial-intelligence-activities. Accordingly, our NIS (National Intelligence Service) purchased RCS(Remote Control System) program from Italy ‘Hacking Team' against ‘zero-day attack.’ Because of this event, out-party of Korea and the public has made political issues on NIS's capability and field of intelligence activity. Therefore, it is required that NIS eliminates public suspicions and carries out their duties faithfully. This paper analyzes the required legal and practical roles to NIS that previous research on industrial security has emphasized on or not actively discussed. The roles of NIS fell into 4 categories: ‘Prevention of industrial intelligence loss’, ‘Establish a governance system’. ‘Emergency response and recovery’, and ‘Supporting activities for industrial security’, and detailed roles were defined. In order to evaluate the priority and level of their roles, AHP(Analytic Hierarchy Process) and IPA(Importance Performance Analysis) were conducted with a survey method. The differences of viewpoint between industrial security experts and the public were analyzed. According to the results, there was a huge gap between their evaluation. Based on the findings, this paper provides the direction of NIS innovation to enhance industrial security.

산업보안 전문 인력 양성의 중요성은 나날이 증가하고 있는 것에 반해 학계나 실무에서는 전문 인력 양성 정책이나 현 교육 시스템의 한계를 지속적으로 지적 해 왔다. 대학 교육의 양적 측면에 있어서 실제 산업보안학과를 개설 중인 대학 들의 수가 많지 않고, 질적인 측면에서도 특정 학문 분야 중심의 획일화되고 편 중된 교과과정이 운영되고 있어 융합적 지식 역량이 요구되는 산업보안 전문 인 재 양성의 한계점으로서 기능하고 있다. 이에 본 연구에서는 국내 대학들의 산 업보안 및 유관학과의 커리큘럼을 비교 분석하여 국내 산업보안교육의 한계점을 분석하고 해외 대학의 커리큘럼을 참조하여 이의 개선 방향을 제시하고자 한다. 분석 결과에 따르면 산업보안학과 개설 확대와 함께 인접 학문 간의 유기적인 연계, 산업현장에 맞는 실무 교육, 산업보안 전문 인력 양성을 위한 산⋅학⋅관 프로그램의 도입 등이 요구됨을 확인하였다. 이러한 노력을 통한 산업보안 전문 인력의 배출은 기업 및 산업의 안전은 물론 국가의 기술 경쟁력 확보 및 유지에 큰 기여를 할 것이다.

In contrast to the growing importance of training industrial security manpower, academic and industrial field have consistently pointed out the limits of current training policy and system. In the quantitative aspects, there are not many universities that have opened the industrial security department and in the qualitative aspects, curriculums are uniformed and biased based on specific studies therefore becomes a limitation from knowledge fusion capabilities which is required in the field. Thus, this research will comparatively analyze the curriculums of the industrial security departments and the relevant departments in national universities to explicate the limits and suggest the direction of improvement through referencing the curriculums of foreign universities. The results show that along with the expansion of industrial security departments, the introduction of organic connections between related studies, appropriate practical education for the industrial site, and the introduction of industry-academy-government program for professional industrial security manpower training is demanded. Supplying industrial security manpower based on these efforts will not only contribute on the safety of business and industry but also on securing and maintaining the nation’s technical competitiveness.

최근 내부자에 의한 정보유출 사건이 이슈화됨에 따라 정보보안업계에서의 인 사관리가 주목받고 있으나, 현실적인 대안은 제시되지 못하고 있다. 특히나 정보 보안업계의 특성 상 비용절감을 이유로 아웃소싱 이용비율이 증가함에도 불구하 고 해당 업계에 효과적으로 반영되지 못하고 있는 듯하다. 본 연구에서는 이를 개선하기 위해 정보보안업계 인력관리 현황 및 관련제도 조사결과를 바탕으로 다면평가제를 도입하고자 하였다. 세부적으로 ISO 27001과 ISMS의 ‘인적보 안’ 관리항목을 분석하고, 다면평가제 도입 As-Is vs To-Be 모형을 완성하여 외주업체 인력이 인사평가에 참여하는 다면평가제 도입의 당위성을 설명하였다. 다면평가제의 적합성은 대표적 유출사고 6건에 대해 인사관리 변화 후 가상시나 리오를 작성하는 것으로 검증하였다. 본 연구의 결과를 활용하여 기업은 다면평 가제를 채택함에 따라 아웃소싱 인력의 원활한 관리를 통해 보안성을 증진시킬 것으로 기대된다.

Recently, the human resource management has been highlighted in the information security business because of insider’s information spill but, there is no realistic alternatives. Specially, it seems that this problem is not reflected since many companies use the outsourced service to reduce the cost. So, in order to solve this problem, this study introduces the multi source assessment on the findings of the human resources management and related system on information security business. Making detailed comparisons between ISO 27001 and ISMS of human resources managemnet, this study makes the model of introducing the multi source assessment on As-Is Vs To-Be and explains needs of the multi source assessment that employees of the outsourced service participate in performance appraisal. After changing human resource management, Multi-source assessment’s suitability was verified by setting virtual scenario about representative 6 data leak examples. This research results expect that Introducing the multi source assessment which successfully manages the outsourcing worker improves the information security.

최근 개인정보 등 내부정보유출 사건을 계기로 다양한 산업군에서 정보보호를 위해 각고의 노력을 기울이고 있다. 그 일환으로 정보보호 관련 인증을 획득하 는 방법을 택하고 있는 곳들이 많다. 그러나 정보보호인증이라는 컨셉 자체가 기업 또는 기관의 정보보호 전반에 대한 정보와 자료를 외부에 노출하는 것으로 인증심사 과정에서 발생할 수 있는 다양한 정보유출의 가능성을 내포하고 있다 고 할 수 있다. 본 논문은 정보보호와 관련된 다양한 인증심사의 방식에 대한 문제점을 제시하거나 새로운 모델을 제시하는 형태의 기존 논문과는 다른 시각 으로 인증심사 과정도 피심사기관의 입장에서는 또 하나의 내부정보유출의 경로 가 될 수 있으며 인증이라는 특성을 이용한 특수한 형태의 내부정보유출이 가능 하다는 것을 입증하려 한다. 인증을 획득한 많은 기업의 담당자들이 이와 같은 위험요인을 인지하고 있으나 인증을 획득하는 것이 목표이기 때문에 어쩔 수 없 이 정보보호와 관련된 다양한 자료와 실사를 지원하게 된다. 정보보호에 대해 체계화를 유도하고 정보보호의 수준을 한 단계 높이며 그에 대한 공신력을 부여 해야 하는 인증이 단순하게 획득의 목표로만 취급되어 실질적인 정보보호에 기 여하지 못하고 있는 모습은 매우 안타깝다. 본 논문은 인증심사 간 피심사기관 의 정보가 유출될 수 있는 다양한 원인들을 파악하고 이를 해소할 수 있는 방안 을 모색하는데 그 목적이 있다. 나아가 모두가 신뢰할 수 있는 인증심사가 되기 위해서는 심사기관과 인증심사원, 피심사기관의 끊임없는 노력이 필요하겠지만 특히, 인증심사 간 피심사기관의 정보보호에 있어서는 본 논문이 이에 기여할 수 있기를 바란다.

Recently, in the wake of an internal information leakage incidents, such as personal information, we are tilting the effort cock in order to protect the information from a variety of industry groups. As part of these efforts, there are many places that you have selected a way to get the certification of information protection related. However, protection of information, the concept itself of authentication, it is possible to publish the information and materials related to information protection General of enterprises and institutions to the outside, the possibility of outflow of a variety of information that can occur in the certification audit process it may be to have the enclosing. In this paper, you can present the problems of various certification audit scheme for the protection of information, in the conventional paper position of the certification audit process also auditee institutions in a different perspective and in the form that presents a new model, and the other The possible paths of one internal information leakage, attempting to prove that it is possible that internal information leakage in the special form which utilizes a characteristic that the authentication. While many companies in charge who has acquired the authentication is aware of this risk factor, so that it acquires the authentication target, and thus to support a variety of materials and due diligence for the protection of information reluctantly . Induces organize information protection, to increase one step the level of information protection against it is necessary to grant the public trust force authentication it is treated only goal of simply acquiring, figure it is without contributing to substantive information protection It's very disappointing. In this paper, we understand the various causes that can information between the certification audit the certification body to flow out, it has the purpose to which seek scheme that can solve this problem. In addition, anyone in order to becomes a reliable certification examination, Examining Authority and authentication jury, but would need unremitting efforts of the Examining Authority, in particular, in information protection between the certification audit auditee institutions, the present paper, we hope that can contribute to this.

본 연구는 연구자가 지각하는 조직문화가 직무만족, 직무몰입 및 보안정책준 수의지에 미치는 영향을 규명하기 위해 진행하였으며, 국가핵심기술 및 영업비 밀을 보유한 기업의 보안활동에 대한 향후 연구에 기초적 자료를 제공하는데 연 구의 목적이 있다. 본 연구를 진행하기 위하여 군집무선표집(cluster random sampling)을 통해 수도권을 포함한 경기도권의 중소·중견기업의 근무중인 275명을 대상으로 하여 표본을 추출하였다. 또한 1, 2차 예비조사를 걸쳐 진행하였으며, 연구목적을 규 명하기 위해 자료수집도구로 설문지를 이용하였다. 조사도구의 타당성을 확보하 기 위해 전문가 3인의 검토를 통해 내용타당도를 검증하였으며, EFA와 CFA검증 을 통해 설문지 문항의 구성타당도와 수렴타당도를 검증하였다. 자료 분석을 위 해 STATA 14.0 프로그램을 사용하였으며, 연구원이 인지하는 관리방식과 조직 몰입, 직무만족 및 보안정책준수의지간의 구조적관계를 파악하기 위해 구조방정 식 모형(Structural Equating Model)검증을 실시하였다. 지각하는 관리방식이 직 무몰입, 직무만족 및 보안정책준수의지에 미치는 영향을 살펴보기 위해 구조방 정식 모형검증을 하고 경로분석을 통하여 다음과 같은 결론을 도출하였다.

This study was developed in order to improve understanding on how organizational culture perceived by researchers would influence job satisfaction, job commitment and security policy compliance motivation and, the study aims to offer basic references which would be used for any follow-up researches on security activities of companies that possess national core technologies and trade secrets. In order to proceed with its research, the study worked on cluster random sampling and extracted samples of 270 employees who were currently working for small and medium sized businesses located in metropolitan areas and Gyeonggi-do areas. In addition, the study conducted first and second preliminary investigations and to define the research purpose, it used a survey as a tool to collect data. The study tried to secure the validity of the research tool and confirmed the content validity with the reviews of three experts. EFA and CFA helped the study to prove the construct validity and the convergent validity of the questions in the survey. STATA 14.0 Program analyzed the data and in order to understand structural relations of management method perceived by researchers with organizational commitment, job satisfaction and security policy compliance motivation, the study carried out a structural equating model. The study verified the structural equating model to observe how the perceived management method would affect job commitment, job satisfaction and security policy compliance motivation and came up with these following conclusions after the path analysis was finished.

산업보안의 기틀을 완비하고자 한다면 개별 기술 및 보안의 대상들이 그 재산 적 가치를 인정받을 수 있도록 하는 법·제도·문화의 선행이 요구된다. 본 논 문에서는 「산업기술의 유출방지 및 보호에 관한 법률」(이하 「산기법」이라 한다.)에 의하여 지정대상기술이 “국가핵심기술”로 지정될 때 발생하는 권리의 제한에 대한 보상규정의 도입과 개정방안을 검토하고, 「하도급 공정화에 관한 법률」(이하 「하도급법」이라 한다.)상의 징벌적 손해배상 규정의 실효성에 대 한 문제제기를 통하여 그 개정방안을 고찰하고자 한다. 「산기법」 제2조 제2호에서 정의한 바와 같이 국가핵심기술이란 ‘국가의 안 전보장 및 국민경제의 발전에 중대한 악영향을 줄 우려가 있는 기술’로서 동법 제9조에 의하여 국가핵심기술로 지정된 것을 말한다. 만일 지정대상기술이 국가 핵심기술로 지정된다면, 해당기술을 국외로 수출할 때 주무관청의 승인을 받을 의무, 신고 의무, 수출중지·수출금지·원상회복의 조치를 하여야 할 의무 등과 같은 재산권 제한이 있게 되나, 「산기법」은 이에 대한 보상 규정을 불비하고 있다. 그런데 위와 같은 제한은 헌법 제23조 제1항이 보장하고 있는 기본권인 재산권의 제한이라 할 것인데 그에 대한 보상 규정이 없어, “공공필요에 의한 재산권의 수용·사용 또는 제한 및 그에 대한 보상은 법률로써 하되, 정당한 보 상을 지급하여야 한다.”는 헌법 제23조 제3항을 위반하여 위헌의 소지가 있어보인다. 본 논문에서는「특허법 」 제41조의 ‘국방상 필요한 발명 수용시의 정당 한 보상금 지급 규정’을 참조하여 국가핵심기술 지정에 따른 재산권 제한에 대 한 보상금 지급 규정을 추가하는「산기법」 개정방안을 제시한다. 한편, 2011년 「하도급법」의 개정으로 하도급 계약 체결을 위해 원사업자가 수급사업자에게 정당한 사유와 절차 없이 기술자료 요구 등의 행위를 하는 것이 금지되었고, 위반 시 원사업자는 수급사업자에게 발생한 손해의 3배 이내의 범 위에서 배상책임을 지게 되었다. 국내 민법상 손해배상제도가 과잉배상을 지양 하는 ‘전보적 손해배상’ 및 ‘제한배상주의’ 에 터 잡고 있음을 감안할 때 다소 파격적인 입법에 해당한다고 볼 수 있으나, 위 개정안이 시행된 지 4년이 경과된 현재까지(「하도급법」 제35조 제2항은 하도급거래 공정화에 관한 법률 [시행 010203.] [법률 제10475호, 2011.3.29., 일부개정]로 신설되었고, 위 법률의 시행일은 2011.6.30. 이다.) 이와 관련한 사례를 찾아보기 어렵다. 그 이유를 몇 가지 생각해 볼 수 있는데, 수급사업자가 위 손해배상 조항에 근거하여 소를 제 기하여 얻는 이익에 비하여 원사업자와 거래관계가 단절됨으로써 얻는 손실이 더 커서 소제기의 실익이 적다는 점이 가장 큰 원인으로 생각된다. 본 논문에서 는 하도급 시장경제에 있어 거래관계 실정과 관련 법 규정을 비교·고찰하여 「하도급법」상 징벌적 손해배상 규정의 실효성이 낮은 이유를 분석하고, 징벌 적 손해배상의 본래 취지인 ‘위법 억지력의 강화’에 부합하는 규정으로 개선 될 수 있도록 개정안을 제시한다. 또한,「하도급법」 제12조의3 제3항은 원사업자가 “요구한” 기술 자료에 대 하여만 유용을 금하는 것으로 해석될 여지가 있다. 왜냐하면 수급자가, 원사업자 가 요구하지 아니하였음에도 불구하고 스스로 기술자료를 제공하였다는 것은, 원사업자에게「하도급법」 제12조의3 제2항의 의무를 부담시키지 않고 기술유출 의 책임을 수급사업자 자신이 지겠다는 의사로 볼 수 있기 때문이다. 이는「하 도급법」 제35조 제2항의 손해배상의 입증책임 전환 또는 동조 제3항의 손해배 상청구권의 포기와도 관련된 문제이다. 그러나 현실적으로는 수급사업자가 경쟁자에 앞서 하도급 계약을 체결하기 위 해서라면, 제안 당시부터 기술자료에 관한 정보제공을 함으로써 그 기술의 탁월 함을 원사업자에게 보여주는 것이 원사업자의 기술자료 제공요청을 기다리는 것 보다 유리할 것이고, 이러한 수급자의 정보제공이 시장경제원리에도 부합한다 할 것이다. 나아가 원사업자가 수급사업자의 독자적인 기술자료를 탈취ㆍ유용함 으로써 수급사업자의 기술경쟁력 축적이 어려운 문제점을 개선하고 공정한 하도급 거래질서를 유지·발전하 는데 「하도급법」 제12조의3의 목적이 있다는 점을 고려하여 본다면, 하도급계약 체결 과정에서 원사업자의 기술 자료의 요구와는 무관하게 수급사업자가 제공한 “모든 기술자료”에 대하여도 보호될 수 있도록 그 보호범위를 보다 넓게 해석할 필요가 있다. 이와 더불어 「하도급법」 제35조 제2항에서 손해보상의 규모를 “수급사업 자에게 발생한 손해의 3배 이내”로 제한하고 있으나 이를 “3배 이상 10배 이 하”로 상향조정할 필요가 있다. 하도급 거래실정상 원사업자는 대기업인 경우 가 많고, 수급사업자는 자본력이 약한 중소기업인 경우가 대부분이다. 그런데 수 급사업자가 원사업자의 기술탈취 및 사용으로 인하여 발생한 피해를 보전하고자 「하도급법」 제35조 제2항에 근거하여 수급사업자가 원사업자를 상대로 손해배 상을 청구한다는 것은 원사업자와의 계속적 거래관계가 이후 단절될 위험을 감 수함을 의미하는 것일진대, 그 배상액이 상당하지 아니하는 한 위 손해배상을 청구하는 것은 현실적으로 매우 어렵다할 것이다. 「하도급법」 제35조 제2항이 신설된 지 4년이 경과한 현시점에도 아직 위 조항을 근거한 사례가 단 한 번도 없었다는 점은 위 조항이 형해화 되었다는 사실과 수급사업자가 거래단절의 위 험을 감수할 만큼 그 배상액이 충분하지 아니하다는 사실을 방증한다 할 것이다. 따라서 위 조항의 손해액을 기술탈취 및 도용으로 얻은 원사업자의 이익 또는 그로 인해 발생한 수급사업자의 손해의 “3배 이상 10배 이하”를 최종적인 손 해배상액으로 규정하여 위 조항이 실효성을 갖출 수 있도록 하여야 한다. 「하도급법」 제35조 제2항 및 제12조의3은 대기업과 중소기업의 상생협력에 의한 동반성장의 여건을 조성하고 불공정한 하도급거래를 근절시켜 다층적인 중 소기업 간의 하도급거래에서도 보다 공정한 하도급거래질서가 정립·발전되도록 함으로써 중소기업의 경영환경을 개선하려는 목적을 가지고 있다. 이를 위해서 는 중소기업이 독자적으로 개발한 기술들에 대한 대기업들의 탈취·유용 행위를 강하게 제재하여 그 유혹을 사전에 차단하는 것이 징벌적 손해배상의 본래의 취 지에 적합할 것으로 생각된다. 다만, 징벌적 손해배상이 형벌적 성격도 가지고 있으므로 「하도급법」 제30조 제1항 제1호의 벌칙규정과 중복 적용되어 헌법상 이중처벌금지의 원칙에 반한다는 비판이 있을 수 있다. 이는 위 벌칙규정의 적 용을 피할 수 있도록 하는 입법을 수반함으로써 해결할 수 있을 것이다.

In order to complete the framework for industrial security, it must be preceded by law, policy and culture which allows the fair value assessment of individual technologies and the subjects of such security measures. In this article, we first analyze measures for amending the “Act on Prevention of Divulgence and Protection of Industrial Technology” (hereinafter the “Industrial Technology Act”) in order to implement regulations for compensating those whose rights are restricted when their technology subject to designation is designated as a “national core technology” by the said Act. We then consider measures for amending the “Fair Contracts in Subcontracting Act” (hereinafter the “Fair Contracts Act”) by taking up the issue of the effectiveness of its punitive damages clause. “National core technology”, as defined in Article 2(2) of the Industrial Technology Act, refers to technology that can have a significantly adverse effect on national security and the development of the national economy, and is designated as such under Article 9 of the said act. If the technology subject to designation is designated as a national core technology, the property rights of the owner become restricted since duties such as the duty to obtain the approval of the relevant administrative agency when exporting the said technology abroad, the duty to report, and the duty to take measures to stop and prohibit export and restore the original state are imposed; however, the said Act contains no regulations regarding compensation for such restrictions. However, because the said restriction is a restriction on property rights guaranteed by Article 23(1) of the Constitution, and no compensation is provided in return, it appears to violate Article 23(3) of the Constitution, which states that “Expropriation, use or restriction of private property from public necessity and compensation therefor shall be governed by Act: Provided, That in such a case, just compensation shall be paid.” This article provides a measure to amend the Industrial Technology Act by adding a compensation clause for the restriction on property rights imposed by the designation as a national core technology, referring to Article 41 of the Patent Act, which includes a clause on “appropriate compensation in case of expropriation of an invention necessary for national defense.” Meanwhile, the 2011 amendment to the Fair Contracts Act prohibited the principal contractor from demanding that the subcontractor provide its technological data without just cause and procedure, and in case of violation the principal contractor was required to compensate the subcontractor within a limit of up to three times the damage caused. Although the above legislation can be considered groundbreaking since the Korean Civil Act chose compensatory damages and limited compensation rather than overcompensation, in the four years since the amendment there has been a dearth of any relevant cases. Among the several possible reasons, we believe that the most significant one is that the loss incurred by the subcontractor due to the severing of business relations with the principal contractor outweighs the gain from taking legal action. This article analyzes why the effectiveness of the punitive damages clause in the Fair Contracts Act is low by comparatively studying the state of business relations in the subcontracting market economy and the legal regulations, then proposes an amendment conforming to the original purpose of punitive damages - namely, enforcing the suppression of illegal activity.