CSO(Chief Security Officer)와 기업리스크 관리(2) 지진과 같은 최악의 자연재해에도 치명적인 영향을 받지 않는 건물은 항상 존재한다. 주변의 모든 것들이 폐허가 되어도 그 건물만 무너지지 않은 이유가 무엇일까? 실제로 생각지도 못한 예외적인 대규모 충격과 영향에 대한 위기대응역량을 확보하게 되면 해당 기업은 체질개선을 통해 자주 발생하는 일반적인 시장 변동에 대한 취약성도 줄일 수 있게 된다.

이를 통해 궁극적으로는 일상적인 비즈니스에 있어서도 다른 기업에 비해 잘 대처해 나갈 수 있게 된다. 그렇다면 현실에서 기업이 리스크 관리를 위해 어떤 일들을 할 수 있는지 나열해 보면서 각각의 사항에서 CSO가 해야 하는 역할과 고민, 고려사항 등을 생각해보자.

대응을 위한 조직(Organizing for Action)
기업을 방어하기 위해, 즉 충격을 예방하거나 그 발생가능성을 줄이는 것뿐 아니라 ‘리질리언스(Resilience)’, 즉 충격으로부터 조속히 회복할 수 있는 능력을 확보하는 일, 그리고 더 나아가 기업의 주요 고객들을 보호하는 노력에 있어서 조직의 특성에 따라 다소간에 차이는 있을 수 있으나 CSO가 이를 위한 중심 역할을 수행해야 한다(CRO(Chief Risk Officer, 최고리스크관리책임자)의 하위조직에 속해 실제 사건·사고 발생 시 위기대응의 실행조직으로 CSO 기능과 조직이 배치, 운영되는 사례도 있음). 참고로 비즈니스 리질리언스에 대한 표준적인 접근방법에는 비즈니스 연속성 계획이라고 불리는 Business Continuity Planning이 있다. 


실제로 리질리언스를 구축, 내재화하기 위해서는 운영 프로세스의 재설계, 기업문화의 혁신, 제품/서비스 설계변경으로 인해 기업 내 조직 변화, 고객 및 공급업체, 그 밖의 이해관계자들과의 관계를 재구성해야 할 필요가 있을 수 있다. 오퍼레이션의 집중화, 해외 공급업체와의 거래, 해외시장으로의 진출, 노사협상, M&A, 새로운 인프라에의 투자, 신제품 출시, 새로운 조직구조 등의 많은 전략적 결정이 취약성 평가를 거쳐 이루어져야 하므로 CSO는 기업 전반적인 비즈니스 움직임을 잘 파악하고 정통해야 한다.

선진 글로벌 기업에서는 CSO가 이사회 급의 주요 위원회에 임원으로 반드시 참여도록 하고 있고 이미 많은 기업에서 보안은 보안담당자가 아니라 각 프로세스의 담당자가 그 책임을 맡아 보안, 리스크관리를 조직문화와 체계로 내재화시키고 있다.

취약성 평가(Assessing Vulnerabilities)
관련전문가들은 비즈니스 부문의 취약성을 측정하기 위해서는 다음 세 가지 물음에서부터 시작해야 한다고 강조한다.

무엇이 잘못될 수 있는가? 그것이 일어날 가능성은 얼마나 되는가? 잠재적 영향은 어느 정도 심각할 것인가? 발생가능성과 영향의 심각도, 그리고 파급효과를 고려하여 주요 리스크에 대한 취약성 지도(Vulnerability Map)를 작성하면 기업은 동원할 수 있는 한정된 대내외 자원을 가지고 가능성이 크면서 심각한 영향을 미칠 수 있는 리스크에 집중할 수 있게 된다. 주요 비즈니스 활동에 따라 취약성이 새로 생기거나 또는 사라질 수도 있고, 발생 가능성과 잠재적 충격 수준도 변화시킬 수 있기 때문에 취약성 파악은 지속적으로 업데이트 되어야 하고, 또한 거래처나 경쟁사들과 같이 타 조직이 취하는 결정, 지정학적 상황, 새로운 법규/규제 적용 또는 기상예측과 같은 다양한 외부적인 환경 변화에도 대응해야 한다.


충격의 발생 가능성을 측정하는 것은 그 충격이 우연한 현상인지 아니면 사고 또는 의도적 공격인지 등의 여러 특성에 따라 달라진다. 지진, 태풍, 홍수 등 자연재해의 발생 가능성에 대한 데이터는 일반적인 통계방법으로 입수가 가능하다. 하지만 의도적인 충격은 그 공격이 방어수단에 대한 적응성을 가지고 있기 때문에(Adapt To Defensive Measures) 그 가능성을 예측하는 것은 매우 어렵다.

고의적 손상 사건의 대표적인 ‘테러’의 경우에는 테러범들이 공격의 성공과 함께 최대한의 피해를 입힐 것을 목적으로 한다. 결과적으로 하나의 가능한 테러 목적물을 특정 형태의 공격으로부터 보호를 ‘강화’하는 것은 다른 목적물에 대한 공격의 가능성을 높이거나 또는 다른 형태의 공격 가능성을 높일 수 있다. 또한 이 같은 의도적 공격은 최악의 시점에 최악의 장소에서, 즉 기업이 가장 방비가 되어 있지 않은 때에 일어날 것이라는 사실을 의미한다.

따라서 이 같은 위협을 측정하기 위해서는 시나리오 플래닝, 시뮬레이션과 War Game 등을 이용한 상상력이 필요하며 다른 기업에서 유사한 사태가 일어나는지도 예의 주시해야 한다. 그리고 예외적이고 충격이 큰 사건은 대중의 공포를 자아내기 때문에, 중요한 자원(유류, 의약품 등)에 대한 사재기, 그리고 정부당국이 초기 과잉 대응하는 것과 같은 상황도 리스크 영향으로 간주되어야 하고 기업은 심각성을 추정하는데 있어 이를 포함하여 고려해야 한다.


또 한 가지 고려해야 할 점은 모든 기업은 자기 혼자만 있는 것이 아니라 공급망(Supply Chain)의 한 구성원으로서 존재한다는 것이며 전체 공급망의 각 구성원들은 자신이 속한 공급망의 가장 취약한 부분이 바로 해당 회사의 리스크관리 수준이라는 사실을 주지해야 한다(We’re only as strong as the weakest of us).

이는 제품, 서비스뿐 아니라 기업이 매출의 상당부분을 단 하나의 고객에게 의존하는 것도 역시 포함된다. 결국 해당 회사의 취약성을 이해하기 위해서는 주요 협력, 공급업체들의 보안과 위기대응능력을 지속적으로 관찰, 모니터링 해야 한다. 그리고 이와 더불어 동종업계간의 서로의 노하우를 교환하고 기업간의 벤치마킹을 통해 다른 기업, 조직 경험을 배워 정작 충격이 발생하여 ‘뼈저린 교훈을 얻기’ 전에 미리 조치를 취할 수 있게 하는데 이 역시 CSO의 역할은 매우 중요하다.

충격의 가능성을 줄이는 것(Reducing the Likelihood of Disruptions)
정도의 차이는 있지만 많은 기업들이 안전을 강화하고 사고 가능성을 줄이기 위해서 오랫동안 많은 노력을 해오고 있는데, 특히 조기 탐지와 다층적 방어구조는 충격이 발생하더라도 이를 제한하고 소규모로 억제함으로써 기업의 위기대응능력과 탄력성을 높일 수도 있다.
 
첫째, 충격을 빨리 감지하고 이것이 무엇인지를 파악하는 것이다. ‘비정상적인’ 활동은 ‘정상적인’ 기본활동으로부터 분리해 냄으로써 어떤 컨테이너를 검사해야 할지, 어떤 직원에 대해 특별한 주의를 기울여야 할지, 항공사 터미널에 들어가려는 승객들 가운데 누구를 검사해야 할지, 불량품이 어느 정도 발생했을 때 사보타주가 발생하는지를 알 수 있는지 등을 판단해야 한다. 이를 위해서는 잘 발달된 통계적 프로세스 컨트롤뿐 아니라 테러리즘과 사보타주 등의 의도적인 충격 가능성에 대해서는 이 같은 통계적 기법에 덧붙여 의심스러운 예외사항을 검토할 수 있는 숙련된 전문가의 안목과 경험이 특히 중요하다.


둘째, 보안과 안전조치는 다층적인, 그리고 균형된 방어(Layered and Balanced Defense) 구조로 이루어져야 한다. 적절한 다층적 보안조치들은 서로 얽혀서 이들 모두가 동시에 실패할 가능성을 극히 낮은 수준으로 줄일 수 있다. 예를 들어 자동차 회사들은 안전 시스템을 설계할 때 정면충돌에서 운전자가 생존할 수 있도록 반드시 두 가지 이상의 방어체제가 작동하도록 한다. 우선 자동차의 전면은 찌그러짐으로써 충격 에너지를 흡수하도록 되어 있고 에어백이 터짐으로써 완충역할을 한다. 그리고 안전벨트는 운전자의 몸이 앞으로 쏠리는 속도를 늦춰줄 수 있는 정도로만 늘어나도록 만들어져 있다(여기에 추가로 엔진룸은 충돌 시 탑승자들이 앉는 공간 아래로 미끄러져 들어가도록 설계되어 있고 운전대는 충격 시 계기판 쪽으로 무너져 들어가도록 되어 있다).

잉여자원의 확보, 탄력적인 공급망 설계(Building in Redundancies and Designing Resilient Supply Chains)
대응능력과 탄력성을 창출하는 가장 간단한 방법은 잉여자원, 체계를 내재화하는 것인데, 복수의 공급업체(multi sourcing), 추가 재고, 잉여 생산능력, 여유인원, 가동률의 하향유지 등의 자원과 조치는 실제로 기업이 충격으로부터 빨리 회복할 수 있도록 해주는 역할을 할 수 있다. 하지만 기업간 무한경쟁체제 하에서 생산성 증대와 원가 절감을 위해 제조공정과 공급체인의 군살을 제거하는 JIT(just-in-time) 적시생산 시스템이 기업에 대부분 적용되면서 이로 인해 안전재고가 사라지고, 제조 아웃소싱과 공급업체 의존도가 심화되는 동시에 정보기술(IT)이 생산성을 비약적으로 높이면서 작업자 수 역시 줄일 수 있었다.


그러나 이 같은 체계는 오히려 기업 공급망의 취약성을 증가시켰는데, 이제는 급할 때 의존할 잉여(redundancy)가 없기 때문에 일단 충격이 발생하고 나면 제조공정 등의 업무는 즉각 중단될 수가 있다(IT 시스템 인프라에 대한 데이터, 애플리케이션 백업, 이중화 체계 포함). 설비가동률이 너무 높고, 가용인력이 부족하고 부품조달이 하나의 업체에 의존하게 되는 경우, 기업 내부에서는 문제가 생길 수 있는 ‘위험경보(alert)’를 울려야 한다. 당장 경영상의 의사결정을 바꾸거나 뒤집어야 한다는 것이 아니라 기업이 이 위험을 인지하고 선제적으로 미리 대비해야 한다는 것을 의미하며 이러한 문제를 짚어주고 경보를 내는 중요한 역할을 할 수 있는 조직은 현실적으로 CSO 또는 CRO 말고는 없을 것이다.


감량경영(lean management) 체계 하에서 잉여자원, 즉 재고를 보유함으로써 기업이 부담해야 하는 비용은 매우 비싸지만, 많은 경우에 있어 제한적인 잉여나 초과분은 실제 상황에서 충격을 입은 기업이 근본적 해법을 찾는 동안 ‘숨 쉴 수 있는 여유’를 확보할 수 있다는 점에서 타당성은 확실히 있다. 또한 고객들과 강한 유대관계를 가지는 것이 충격의 위험을 관리하는데 있어 중요한 자산이라는 데는 의심의 여지가 없다. 만약 주요 고객이 충격의 와중에서도 해당 기업과 계속 거래를 해준다면 이는 다른 고객들과 금융시장에도 크게 신뢰를 줄 수 있으며 충격으로부터 회복할 수 있는 시간을 벌게 해 준다. 그리고 공급업체와의 관계수준에 따라 차이가 있겠지만 조달전략에 의해 독점공급, 파트너십, 멀티채널 등을 특히 비상시에 유리하도록 효과적으로 관리해야 할 것이다.


물론 그렇다고 해서 막대한 자원을 투입하여 모든 공장을 요새로 만들고 산더미처럼 재고를 쌓도록 하자는 것은 아니다. 계속 강조하는 것이지만 취약성을 체계적으로 분석하고 다른 기업, 조직들의 경험으로부터 배우며, 유연성 높은 공급망 설계를 하고, 보안 및 위기대응능력, 즉 리질리언스에 대한 투자로부터 기대효과를 얻을 수 있도록 자원을 효율적으로 사용·배치·관리해야 한다는 것이다.

사람과 문화에 대한 투자(Investing in People and Culture)
가끔은 진부한 이야기가 진리가 되기도 한다. 대부분의 기업에서 가장 중요한 자산은 임직원이다. 임직원에 대한 투자의 상당부분은 교육, 훈련을 통해 이루어지는데, 응급, 비상 프로세스를 연습할 뿐만 아니라 충격에 대한 시뮬레이션을 실시함으로써 직원들로 하여금 반응하는 법을 배우도록 해야 하는데, 여기에 또 하나의 CSO의 역할을 찾을 수 있다.


게임의 룰이 바뀜에 따라 즉시 변화할 수 있도록 훈련받은 팀은 예상치 못한 충격에도 보다 잘 대응한다고 한다. 보안과 탄력성을 일상적인 업무로 ‘내재화’함으로써 모든 직원들이 위협적인 상황을 감지하고 대응할 수 있도록 하는 것으로 보안과 리스크관리 문제에 대한 관심을 유도함으로써 이것이 의사결정 과정의 일부가 되도록 한다.

모건 스탠리의 기업보안담당 부사장이었던 릭 레스콜라는 1993년 세계무역센터(WTC)에 대한 폭탄테러가 있은 후 피난계획(Evacuation Plan)을 마련하여 직원들의 불만 속에서도 여러 차례에 걸쳐 연습을 강행했다. 실제로 이러한 훈련과 연습의 결과는 2001년 9월 11일 나타났는데 2,700명의 잘 훈련된 모건 스탠리 직원들이 세계무역센터 빌딩을 무사히 빠져나오는 데 큰 도움이 된 것으로 알려졌다. 


또한, 유연성이 매우 높은 조직은 일과 회사에 대한 정열로 특징되는 문화를 보여주기도 하는데, 이 같은 기업문화는 비즈니스 목적을 달성하기 위하여 임직원 개개인의 의무를 다하는 것을 넘어서 자신의 직무 이상으로 일을 한다는 것을 의미하고 이 같은 태도는 갑작스런 충격이 일어났을 때에 성패를 가르는 핵심 요인이 될 수도 있다.

앞에서 살펴본 기업 리스크관리와 CSO의 역할에서 실제 CSO가 직면하게 되는 어려운 점 가운데 하나는 리스크, 위기상황에 대한 대응·대비를 위한 많은 일련의 체계 마련과 활동 수행의 경제적 효과를 계량화하기가 쉽지 않다는 것이다. 중대한 사건, 사고(때로는 기업의 존폐를 좌우할 수도 있는 수준의)와 충격을 피했다는 것이 기업의 매출, 비용, 이익, 자산, 또는 기타 어떠한 형태로든 재무제표와 같은 재무적인 성과와 금액적 수치로 나타나지 않기 때문이다. 단지 이를 위해 지출한 비용만이 남는다.

따라서 엄연히 명백한 가능성이 있더라도 그 충격을 예방하고 이를 완화하는데 대한 비즈니스 근거business case)를 만들어 내기가 쉽지 않다. 다음 호에서는 이와 같이 실제 기업 환경 하에서 CSO가 직면하고 있는 이슈들과 앞으로 해결해야 할 과제들에 대해서 논의해 보도록 한다. 
<글 : 유 종 기 딜로이트 안진회계법인 기업리스크관리본부 이사(jongkiyoo@deloitte.com)>
 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>