회사를 그만두고 CISO/CPO 시절의 경험을 바탕으로 한 칼럼을 준비하면서 평소 알고 지내던 CISO/CPO들에게 칼럼에 담았으면 하는 주제를 물으니 여러분이 '위기관리'를 말한다. 위기관리에 관한 문제는 한국CPO포럼에서 3번 정도 다뤘고, 작년 해킹방지워크숍에서도 발표되었으니 많은 분들이 관심 있어 하는 주제임에 틀림없는 것 같다.
나 역시 얼마 전 모 그룹에서 위기관리에 대한 특강 요청이 있어서 다녀 왔는데, 5-5-7 규정 때문에 보안투자가 적지 않았을 카드사에서도 이렇게 큰 위기가 발생했으니 각 기업에서의 관심은 더 커질 것 같다.
(5-5-7 규정은 은행 전체 인력의 5% 이상을 IT부문 인력으로, IT부문 인력의 5% 이상을 정보보호 인력으로 하고, IT부문 예산의 7% 이상을 정보보호 예산으로 하라는 ‘전자금융감독규정’ 제8조의 규정이다. 이에 따라 금융권의 보안투자는 상당한 수준에 이르렀다는 것이 일반적인 평가다)
그 동안 위기관리에 대한 주된 관심은 큰 위기가 터졌을 때의 대응 방법에 머물러 있다. 당연한 일이다. 하지만 아직 큰 위기를 당해 보지 않은 회사에서는 좀더 다른 관점에서 볼 필요가 있다. 평소 품질, 안전, 보안 등 위기 관련 업무를 철저히 수행함으로써 위기가 발생하지 않도록 노력해야겠지만, 그럼에도 불구하고 위기가 발생할 때를 대비하여 사전 준비에도 관심을 가져야 한다는 말이다.
위기에는 '큰 위기'와 '작은 위기'가 있다. 큰 위기는 누가 봐도 알 수 있다. 큰 위기가 발생하면 최고경영자(CEO)가 급박하게 임원회의를 소집하고, 언론에서 크게 다루고, 수사기관이나 규제기관에서 심각한 내용으로 연락해 온다. 회사의 사업에도 큰 영향을 미칠 수 있다.
개인정보 대량 유출사고가 아니더라도 공장에서의 폭발사고, 항공사의 비행기 추락사고, 철도의 인명사고, 유통업체의 대리점 관련 사고 등 종류는 다를 수 있지만 큰 위기는 어느 회사에나 닥칠 수 있다. 우리가 흔히 위기라고 하는 것은 큰 위기를 말한다. 하지만 평상시에 회사에는 적지 않은 작은 위기가 발생한다. 작은 위기들은 잘못 대응하면 큰 위기로 비화되기도 한다. 또한 작은 위기에 잘 대응하면 큰 위기가 발생했을 때에도 당황하지 않고 대처할 수 있는 힘이 생긴다.
사전 위기 대응에서 가장 먼저 해야 할 일은 우리 회사에 발생할 수 있는 위기를 정의하는 일이다.
회사나 업종마다 다를 수 있지만, 소소한 보안 침해사고나 내부정보 유출사고, 고객센터로 접수된 수십 건의 강력한 고객 클레임, SNS에서 확산되는 회사에 대한 비난, 언론에 나온 부정적인 기사, 오래 지속되는 서비스 장애 등이 될 수 있다. 가능한 위기를 정의하면 그것을 대응할 조직을 구성할 수 있다.
위기관리 관련 부서가 여럿이므로 태스트포스(TF) 형식으로 구성하고 코디네이터를 둬서 발생시 소집하여 협의하도록 하는 것이 바람직하다. 한 가지 유의할 점은 위기관리 TF의 장에 힘이 있는 임원급을 임명하고, 필요시 CEO에게 보고하는 등 CEO가 힘을 실어 줘야 위기관리 체계가 제대로 작동한다는 것이다.
그 다음에 할 일은 위기의 등급과 그에 따른 처리 프로세스를 정의하는 일이다. 여기서 가장 중요한 일은 CEO에게 보고할 위기를 정의하는 일이다. 그룹사인 경우에는 그룹에 보고해야 할 수도 있다. 작은 위기가 큰 위기로 번지는 것을 막기 위해서 신속한 위기관리가 중요하다면 위기 인지 후 보고 시한을 정의해 놓는 것도 방법이다. 작은 위기는 자주 발생하기 때문에 이렇게 위기 정의와 대응조직, 프로세스를 정해 놓으면 저절로 연습이 된다.
사전에 발생 가능성을 예측할 수 있는 위기도 있다. 예를 들어 특허재판과 같이 회사에 영향이 큰 재판이 진행되고 있는데, 선고기일이 잡혔다면 선고 결과에 따라 큰 위기가 발생할 수 있다. 날짜는 정해져 있으므로 각 경우 별로 시나리오를 짜서 대비하는 것이 필요하다. 제품을 출시하는데 고객의 반응에 따라 위기가 발생할 수 있다고 판단하면 위기관리TF에서 사전에 점검할 수도 있다. 사전에 예상할 수 있는 위기는 대응 준비를 철저히 한다면 큰 위기도 적절하게 헤쳐 나갈 수 있다.
위기관리를 잘 하기 위해서는 고위 간부들이 위기관리에 대한 이해와 공감이 매우 중요하다. 아무리 실무자들이 중요하다고 해도 임원들이 자신의 일로 생각하지 않으면 그 일이 제대로 수행될 수 없는 것은 자명하다. 고위 간부들이 위기관리에 관심을 갖게 하는 데에는 '위기관리 임원회의'를 여는 것도 한 방법이다. 예를 들어 개인정보 대량 유출사고가 회사의 큰 위기라고 한다면 해당 위기가 발생했을 때를 가정하고 위기관리 임원회의를 소집하는 것이다.
신고할 곳, 신고 내용, 전사위기대응TF의 구성과 운영방안, 각 임원들의 역할, 관련 부서의 업무, 이해 관계자의 파악과 대응 방안 등을 협의하면 위기를 실감나게 이해하고, 경각심을 일깨워서 위기관리 준비가 잘 진행될 수 있다. 한 발 더 나아가 위기관리 워크숍을 열어서 위의 사항을 좀더 심도 있고 집중적으로 논의하고 모의훈련을 해 보면 더욱 효과적이다.
연습을 실전처럼 하라는 말이 있다. 특히 위기관리에 유용한 말이다. 위기관리에서 연습을 실전처럼 하면 실전이 발생할 때 효과적으로 대처할 수 있을 뿐만 아니라 실전이 발생할 가능성도 낮아질 수 있기 때문이다.
--comment--
첫 번째 댓글을 작성해 보세요.