아이뉴스24오피니언
아이뉴스24 홈 프리미엄 엠톡 스페셜 콘퍼런스
IT.시사 연예.스포츠 포토.영상 게임 아이뉴스TV
오피니언 홈 데스크칼럼 기자칼럼 전문가기고 연재물 스페셜칼럼 기업BIZ
Home > 오피니언 > 스페셜칼럼
[유종기의 기업 위기관리 Insight]위기에 강한 기업 "리질리언스를 확보하라"
사이버테러, 신종플루 등 돌발 상황에 대한 기업 대응 방안
2009년 09월 02일 오후 16:09
  • 페이스북
  • 0
  • 트위터
  • 0
  • 구글플러스
  • 0
  • 핀터케스트
  • 0
  • 글자크게보기
  • 글자작게보기
  • 메일보내기
  • 프린터하기
리질리언스의 개념과 기업 리스크관리

고무공을 땅에 튕길 때 다시 올라오는 탄성을 뜻하는 ‘리질리언스(Resilience)’라는 용어가 있다. 요즘에는 환율, 유가 변동 등 외부 충격에 대해 잠시 경기 등이 후퇴하다가 다시 회복하는 경제의 ‘복원력’, ‘탄력성’ 등을 표현할 때 이 용어가 자주 쓰이고 있다.

권투를 예를 든다면, 상대방으로부터 강 펀치를 맞아서 순간 휘청거리거나 넘어지더라도 오뚝이처럼 일어나 언제 그랬냐는 듯이 경기에 임하는 맷집 좋은 선수에 비유될 수 있겠다. 심리학 분야에서도 역시 리질리언스를 ‘역경을 이겨내는 긍정적인 힘’으로 많이 인용하고 있으며, 감정통제력, 충동통제력, 낙관성, 원인분석력, 공감능력, 자기효능감, 적극적 도전성 등을 포함하는 회복탄력성지수(RQ, Resilience Quotient)라는 말로 최근 회자되는 등 이제 리질리언스란 말은 더 이상 생소한 용어가 아닌 듯 하다.

최근에 와서 글로벌 금융위기와 국내 경기가 조금 누그러지나 싶더니, 7.7 사이버 테러, 그리고 전 세계를 공포에 몰아넣고 있는 신종인플루엔자의 창궐까지, 원하든 원하지 않든 개인뿐 아니라 기업은 어느 때 보다도 예측 불가능하고 극심한 격동의 시대에 노출되어 있다. 이제 앞으로 어떤 사업을 하고 어떤 제품을 만드느냐가 기업의 운명을 결정짓는 것이 아니라, 급변하는 변화를 감지하고 불확실성과 혼돈을 예측하며 위험을 관리하는 능력이 기업 생존에 절대적인 요건이 되어가고 있다고 감히 말할 수 있을 것이다.

그리 복잡하게 생각하지 않더라도 기업이 당면한 상황은 쉽게 이해될 수 있을 것이다. 경쟁이 심화됨에 따라 소비자들이 보다 다양한 선택을 할 수 있게 된 반면, 기업들은 더욱 열심히 일해야만 하고, 한 회사가 어떤 이유에서든지 실패하게 되면 다른 경쟁업체들이 언제든지 이 회사의 자리를 빼앗을 수 있다.

따라서 기업은 경쟁업체들보다 더 높은 리질리언스 즉, 탄력성을 확보해야, 다양하고 이례적인 충격에 직면하더라도 빠르게 회복할 수 있는 역량을 보유하게 되고, 결국 이를 통해 기업을 둘러싼 이해관계자, 특히 고객들에게 미치는 충격의 여파는 극소화 될 수 있다.

현실적으로, 충격은 언제든지 어떠한 방식으로든 일어날 수 있고 예상치 못한 형태로 기업에게 영향을 미칠 수 있기 때문에 취약성과 리스크를 분석하고 관리하는 것이 더더욱 어려워지고 있는 것은 사실이다. 실제로 경영자에게 리스크관리가 무엇이냐고 물어보면 저마다 다양하게 대답한다. 그 까닭은 리스크관리, RM, ERM과 같은 말이 일상에서 폭넓게 쓰이고 있지만 뚜렷한 기준이나 정의가 없어서이다.

미국의 경우에는 기업의 필수적인 기능으로 리스크관리, 비즈니스연속성(Business Continuity), ERM(전사적리스크관리, Enterprise Risk Management)의 개념이 논의된 지 십여 년이 훨씬 넘었지만 여전히 난제이며, 회사마다 관리 대상, 운영 형태, 주관부서, 전략 및 실행방법 등에 많은 차이가 있다.

* 최근 제조업 중 국내 최초로 재난재해나 테러 상황에서도 회사의 핵심업무가 재개될 수 있는 위기관리 능력을 인정받아 British Standard인 BS 25999 인증을 획득한 바 있다.

한 기업이 충격에 대한 취약성을 줄이려고 할 때, 경영자는 사전에 이를 예방, 대비하는 방안을 통해 충격이 일어날 수 있는 가능성을 줄이는 한편, 탄력성과 복원력의 증대, 즉 충격에서 빨리 회복할 수 있는 능력을 키우는 양쪽을 모두 고려해야 한다. 특히 탄력성과 복원력 측면에서 볼 때, 충격의 근본원인 즉, 충격을 일으킬 수 있는 우연한, 돌발적인 또는 악의적인 행위 등의 발생원인을 고려하는 것 보다는 기업의 자산 즉, 자원과 시스템이 어떤 손상을 입었는지, 그리고 이를 빨리 회복시키기 위해서는 어떻게 해야 하는지에 초점을 맞추어야 한다.

다음의 세 가지 아주 쉬우면서도 기본이 되는 질문에 대한 물음과 이러한 질문들이 경영에 미치는 결과를 고려하면서 자신의 취약성을 평가할 수 있고, 대응 방안을 모색할 수 있는 출발점이 된다.

1. 무엇이 잘못될 수 있는가? >> 무엇에 중점을 두어 대응을 해야 하는가?

2. 이 사태가 일어날 수 있는 가능성은 얼마인가? >> 충격이 생기는 가능성을 줄이기 위해서는 무엇을 해야 하는가?

3. 사태가 일어났을 경우의 결과는 무엇인가? >> 충격의 파급효과를 줄이기 위해 무엇을 해야 하는가?

높은 가능성과 낮은 충격을 주는 사태들은 일상적인 경영환경의 일부로서 순간순간의 예기치 못한 소규모의 수요변화, 예상치 못한 생산성 감퇴, 품질결함, 직원들의 결근 등과 같은 일상적인 ‘경영활동의 비용’의 일부를 이루는 비교적 흔한 사건들을 가리킨다. 반면, 가능성은 낮지만 충격이 큰 사건들은 일상적 활동 이외의 차원에서 특별하면서 체계적인 계획과 대응이 필요하다.

* 예상가능한 많은 위협 군에서 해당 기업이 특히 취약한 부분과 이의 발생으로 인한 충격을 도출하고, 업무의 전면적인 중단 시 빠른 시간 내에 복구되지 않으면 큰 재무
/비재무 영향을 받는 주요 업무프로세스를 선별하여 이의 복구와 정상화를 위한 필요자원을 매핑하는 작업 - Risk Intelligence in the age of global uncertainty - prudent preparedness for myriad threats (Deloitte) 발췌

여기에서는 기업의 취약점과 리스크 관리 중 발생가능성은 낮지만 충격과 그 영향이 큰 사건 중에 최근 이슈가 되고 있는 사이버테러와 같은 의도적 공격과 특화된 대응이 필요한 신종플루에 대한 기업 차원의 대응방안을 간단히 소개하면서 기업의 리질리언스를 생각해 보는 기회로 삼고자 한다.

신종플루, 특화된 대응전략이 필요

지난 5월 필자의 칼럼 '신종 인플루엔자, 기업차원의 대응 필요하다'에서 약간 구체적으로 언급을 한 바 있다. 신종플루에도 역시 자연재해를 포함하는 여러 재해, 재난 및 전면적인 업무중단 등의 영향과 충격을 가져오는 사건에 효과적으로 대응하는 비즈니스연속성관리(Business Continuity Management, BCM- 질병관리본부에서는 업무지속계획(BCP)으로, 금융감독원에서는 업무연속성계획으로 명명하고 있으며 모두 같은 의미)를 통해 대응하는 것이 현실적인 대안이다. 하지만 기존 대응 방향에 비해 아래와 같은 몇가지 특징이 있으며, 이러한 내용까지 고려한 대응계획과 이를 가능케 하는 필요 자원 확보가 준비되어야 할 것이다.

첫째, 일반적으로 화재, 지진, 홍수 등을 가정하는 경우 이의 발생으로 인해 전기, 통신, 교통 등 사회인프라 중단이 수일 또는 심하면 수주 간 지속되어 기업 업무수행에 영향을 줄 수 있다. 하지만 신종플루 등 전염병 창궐은 한번 유행하면 최소 8주(2달)이상 지속하고, 몇 차례에 걸쳐 유행하는 등 상당기간 동안 지속이 될 수 있다는 것을 감안하여야 하고, 지역에 따라 유행의 정도나 심각성 그리고 유행시기에 차이가 있다는 것도 고려하여야 한다.

둘째, 기존 재해 등은 건물, 장비, 공장, 시스템, 네트워크, 데이터센터, 임직원, 물자 등 여러 물리적 시설 및 자원 손실이 피해의 대부분인데 비해, 신종플루의 경우에는 직접적으로는 임직원인 인적자원 에 대한 피해 (감염률 25% 이상, 임직원 결근율 최대 40% 이상까지)가 대부분이다.

셋째, 지리적인 영향범위 측면에서 보았을 때, 기존 재해는 발생 시 피해를 받는 지역이나 장소가 한정되어 있어 그 지역을 벗어난 다른 장소에서 대체업무 등이 가능하여 그 영향이 국지적인 반면, 신종플루의 경우는 다른 거점 업무지역이나 대체인력들의 가동이 불가능하여 업무복구가 매우 어려울 수 있다. 같은 맥락인데, 광범위하게 많은 지역이 동시다발적으로 아니면 순차적으로 전염되어 물자, 장비 등 자원을 타 지역이나 국외로부터 지원 받는 것이 불가능하다는 점에서도 신종플루로 인한 리스크는 기존 재해로 인한 영향과 많은 차이점을 보일 수 있다.

넷째, 기존 재해 시에는 업무중단 시간이 (물론 BCP가 도입되어 있고, 이를 가동하는 경우) 대 고객 접점에 있는 주요업무 같은 경우에는 빠르면 수시간 정도에서 지원, 기획 업무 등 상대적으로 빠른 복구가 필요 없는 업무는 수일 내에 정상화되는 것이 일반적이다. 신종플루 상황에서는 빠른 복구가 필요한 중요업무는 연속성 확보가 어느 정도 가능하지만, 중요업무가 아닌, 즉 복구에 있어서 우선순위가 밀려있는 업무들은 상황이 안 좋은 경우에는 몇 개월씩 중단된 상태로 기업의 전체 업무가 진행되어야 하는 경우가 있을 수 있으며, 이러한 상황이 지속되는 경우에는 결국 빨리 복구된 중요업무에도 지장을 주게 되어 정상화가 어렵게 되고 계속 업무중단이 속출할 수 있다.

다섯째, 업무의 복구와 재개 측면에서 보면, 기존의 재해의 경우에는 앞에서 설명하였던 비즈니스영향분석(BIA)에 따라 복구 우선순위를 매겨 그 우선순위에 따라 업무를 복구하고 정상화하면 된다. 하지만 신종플루의 경우에는 임직원과 고객을 포함한 회사의 이해관계자로 감염확산의 리스크, 그리고 사태가 장기화되는 경우, 기업경영에 있어서 지역사회 등에 대한 사회적 책임 이슈 등 고려사항을 바탕으로 지속해야 하는 업무와 중단된 상태로 계속 일정기간 있어야 하는 업무 등에 대한 판단을 해야 하는 상황이 발생할 수 있다.

앞에서 언급한 특징들을 고려하여 신종플루 감염 확산에 대해 기업 차원에서의 대응 시 주로 고려해야 할 전략을 예상되는 이슈와 대응 전략을 중심으로 표로 정리해 보았다. 각 기업이 조직 상황에 맞는 상세한 실행계획(Action Plan)과 대응 매뉴얼 작성을 위한 방향 설정에 도움이 될 것이다.



의도적 공격(Intentional Disruption)이 더 위험

이제 8주기를 맞이하는 9.11 테러사건은 미국뿐 아니라 전 세계 기업인들에게 테러공격에 따른 충격을 실감케 해 주었다. 단순 사고나 사건, 즉 이상기후나 지진, 홍수 등 자연재해 역시 테러에 못지않은 충격을 가져올 수 있지만, 그럼에도 불구하고 의도적인 공격은 더 위협적인데, 이는 공격이 방어수단에 대한 적응성(Adapt To Defensive Measures)을 가지고 있어 그 발생 가능성을 예측하는 것이 보다 어렵다.

고의적 손상 사건의 대표적인 ‘테러’의 경우에는 공격의 성공과 함께 해당 목표 대상에 최대한의 피해를 입히는 것을 목적으로 하기 때문에 결과적으로 예상할 수 있는 테러 목적물을 특정 형태의 공격으로부터의 보호를 ‘강화’하는 것이 다른 목적물에 대한 공격의 가능성을 높이거나 또는 다른 형태의 공격의 가능성을 높일 수 있게 하여 대응하기가 여간 쉽지가 않다.

실제로 스페인 마드리드 폭탄테러범들은 9.11 테러사건 이후 전세계 공항이 보안대책을 강화했기 때문에 항공기나 공항을 대상으로 삼지 않았다. 대신 이들은 방어에 소홀한 목표물, 즉 마드리드 중심부의 열차들을 선택했다. 2004년 3월에 일어난 이 공격은 출근시각 붐비는 열차로 인해 피해규모가 최대로 발생할 때를 골라 일어났다.

또한 이 같은 의도적 공격은 최악의 시점에 최악의 장소에서, 즉 기업이 가장 방비가 되어 있지 않은 때에 일어나는 것이 대부분이다. 의도적인 공격은 비단 테러뿐만이 아니라 규모는 좀 다르긴 하지만 사보타주(태업)나 컴퓨터 해킹, 그리고 노사분규 등이 주로 해당된다. 파업의 경우, 기업이 예상치 못하거나 또는 최대의 경제적 손실을 일으키는 것을 목적으로 한 방법과 시점에서 일어나는 피해를 전형적으로 보여준다.

2002년 여름, 미국 항만노조(ILWU; Longshore and Warehouse Union)는 서부지역의 항만들을 마비시켰다. 당시 항만노조는 노동쟁의의 효과를 극대화하기 위해 10월, 즉 미국의 연말 쇼핑시즌에 대한 준비로 동남아로부터의 선적량이 가장 많은 시점에 항만을 마비시키기로 결정했고, 그 피해는 상상할 수 없을 정도로 컸다.

위기관리 분야에서 잘 인용되는 '1:29:300의 법칙'으로도 알려져 있는 하인리히 법칙이란 것이 있다. 한 번의 위기 사건이 발생하기 전에는 29번의 유사 사건과 300번의 잠재 징후가 있다고 한다. 그래서 300번의 징후와 29번의 경고를 간과하지 않고 대비한다면 큰 실패를 막을 수 있다는 것이다. 물론 자연재해가 통계적 분포를 따르고 대형사고의 가능성은 작은 사고의 빈도로부터 예측할 수 있지만 의도적 공격의 경우에는 이 하인리히 법칙과 논리가 잘 맞지 않고, 새로운 위협의 성격을 예측하는 데 있어서 과거의 데이터는 별 큰 도움이 되지 않는다.

이번 7.7 사이버테러에 대한 여러 의견들이 분분하다. 하지만 기업 입장에서 중요한 것은 계속적으로 공급망(Supply Chain)이 전세계에 걸쳐 연결되고 복잡해지고 있으며, 기업 업무는 정보통신에 크게 의존하는 상황은 더욱 심화되고 있으며, 많은 물리적 프로세스를 자동화함에 따라 컴퓨터 해킹과 같은 사이버 테러에 더 많이 취약하게 되었다. 비록 이들 바이러스 공격들 중 많은 것들은 특정 회사를 목표로 하고 있지는 않지만 오늘날의 자동화되고 연결된 시스템에서는 새로운 취약성들이 계속 생겨날 수밖에 없는 것 또한 사실이다.

의도적인 공격과 그 발생 가능성을 가늠하고 대응하기 위해 참고할만한 몇가지 사례를 소개한다. 해군 및 공항의 경우에는 '레드 팀(Red Team)' 훈련을 통해 의도적인 위협을 보다 잘 이해하려고 노력한다. 이 같은 훈련에서는 한 그룹의 전문가들은 가상 적의 역할을 담당하면서 조직의 취약점을 찾아내어 여러 가지 공격에 대한 시뮬레이션을 한다. 앞에서도 언급했지만, 의도적인 위협의 경우, 그 공격이 방어수단에 대한 적응성이 있기 때문에, 공격의 형태와 그 가능성을 예측하기 위해서 기업 위기관리, BCP 담당자들은 “적처럼 생각해야” 하고 다른 기업이 경험한 사례들과 시뮬레이션을 통한 “레드 팀”의 공격을 활용해야 한다.

또 하나의 사례는, 2000년 11월 미국 에너지 담당 정부부처와 유타(Utah) 올림픽 공공안전 지휘부는 '블랙 아이스'라고 하는 훈련을 실시했는데, 이는 핵심적인 인프라의 취약성을 이해하기 위해 일부 인프라의 손실과 동시에 사이버 공격이 발생하는 상황을 상정한 훈련이었다. 훈련은 먼저, 가상의 폭설로 인해 발전 및 송전설비가 손상되어 해당지역에 대한 전기 공급능력이 떨어진 상황에서부터 시작됐다. 여기에 이 지역의 송전망을 통제하는 감독 통제 데이터 취득 시스템에 가상의 사이버공격이 가해짐으로써 상황은 더욱 악화되었다. 시뮬레이션의 결과, 솔트레이크 시티는 천연가스, 수도 및 통신시스템의 작은 이상에도 취약하다는 것이 드러났다.

이와 비슷하게 2002년 7월, 가트너(Gartner) 리서치와 미 해군 군사대학은 '디지털 진주만'을 실험했는데, 이는 핵심적인 인프라 시설에 대한 가상의 사이버 공격 시뮬레이션이었다. 실험결과 이 같은 공격이 발생했을 때 정부에 의한 중앙통제 시스템의 필요성이 드러났다. 실험에서 얻은 또 다른 사실은 시스템화 되어 연결되어 있지 않은 인프라들에 대한 공격이 훨씬 더 어렵다는 것이다.

이 같은 '레드 팀' 시뮬레이션을 통해 방어를 담당하는 '블루 팀(Blue Team)'은 자신의 취약점을 파악하여 미처 생각지 못했던 의존성을 찾아낼 수 있는 것이다. 시뮬레이션은 또한 이를 이용하는 기업으로 하여금 불확실성과 유연한 반응, 책임, 그리고 담당라인 등을 생각하게 함으로써 해당 기업을 보다 적응력 있고 탄력성 있는 조직이 되도록 도움이 되는 좋은 방법이다.

이외에도 미 국토안보국(Department of Homeland Security) 주관으로 진행되는 사이버스톰 (cyber storm, http://www.dhs.gov/files/training/gc_1204738275985.shtm)의 주요 점검사항과 사이버테러에 대한 대응 과제 역시 기업에서 검토 할 만 하다.

참고로 사이버테러 관련하여, 민간 기업이 고려해야 하는 기본적인 보안관리(Security Management)체계 강화를 위한 몇 가지 포인트를 아래에 나열해본다. 아래 내용들은 엄청나고 독창적인 사고가 필요한 것이 아니며, 아주 평범하고 잘 알면서도 실행에 옮기지 않았던 간단한 기초 사항이지만 다시 한번 되짚어 생각해 봄직한 사항들이다. 리스크관리에 적용하여도 적절한 내용들로 주로 선별해 정리했다.

1) 협력(Collaboration): 기업 자체의 역량만으로는 대다수 기업의 보안전문가들은 전세계에 걸친 의도적인 공격에 대처할 수 없다. 기업의 공급체인은 다양한 체제를 가진 수십 개 국가에 걸쳐 있기 때문에 현지의 공급업체들, 고객들, 운송업체들 및 다른 거래업체들과의 협력을 통해야만 효과를 거둘 수 있다. 다른 기업의 경험과 여러 감독기구 및 사법기관의 축적된 경험으로부터 배우는 것도 사고의 가능성을 줄이는 데 크게 기여한다.

2) 보안문화(Security Culture): “IBM 보안의 중요한 특징은 각 프로세스의 담당자가 보안의 책임을 지는 것이다. 보안 책임자가 모든 보안의무를 수행하는 것은 IBM의 보안이 아니다.”라는 말을 대신 인용한다. 보안문화를 구축하고 여기에 직원들이 참가토록 하는 것은 노사 양측에게 모두 이익이 되는 만큼 노사가 함께 협조해야 한다.

3) 비즈니스에 보안을 일체화(Integrating Security into the Business): 비즈니스에는 여러 위험이 따르기 마련이다. 최근에 와서는 여기에 사이버공간 에서의 테러위험까지 증가하였다. 이미 사건이 일어난 뒤에 또는 특정한 사고가 발생한 데 대한 대응 차원에서 보안조치들이 기존의 비즈니스 프로세스에 추가되는 때에는 그 효과는 기대하기 어려우며 오히려 현장의 매니저들은 이를 장애물로 보게 된다. 효과를 발휘하기 위해서는 보안은 비즈니스 프로세스의 일부분으로 내재해야 한다.

4) 훈련과 연습(Train and Drill): 충격의 예방조치들이 갖는 하나의 위험은 이들이 일상적인 것이 되어버리는 것이다. 매일매일의 경영과제에 집중하다 보면 보안 및 안전절차에 관해서는 별 관심 없이 습관대로 하기 쉽다. 이 같은 경향에 따른 두 가지 위험은 직원들이 태만해지기 쉽다는 것과 함께 이 같은 동일한 패턴의 지속에 따라 악의적인 공격자들이 이 패턴을 연구하고 이를 통과하기 쉽게 된다는 것이다.

프로세스 자체가 변화하지는 않더라도 리스크의 존재를 끊임없이 알리는 것이 중요하다. 연습과 시험, 그리고 기타 취약성에 대한 경계 및 보안 프로세스를 강화하기 위한 이벤트들은 주기적으로 실시되어야 한다.

한 미국 회사의 예를 들면, 보안훈련을 실시한 뒤에는 수상한 물체를 떨어뜨린다든지 또는 수상한 사람이 공장을 방문토록 하는 등의 무작위 실험을 통하여 직원들이 이 같은 수상한 상황을 파악하는 데 어느 정도의 시간이 걸리는지를 확인한다. 이 같은 실험에 합격한 사람에 대해서는 포상을 함으로써 직원들로 하여금 더욱 보안문화를 강화토록 한다. 직원들이 수상한 짐을 발견하는 데 걸리는 시간을 실험하는 보다 정밀한 방법은 앞서 언급한 “레드 팀” 훈련으로서, 외부전문가 팀이 기업의 방어망을 돌파하려는 훈련이다.

5) 지속적 노력(Continuous Effort): 품질개선, 안전 프로그램, 그리고 보안 프로세스는 일시적인 '프로젝트' 차원에서 실시한다면 성공할 수 없다. 대신, 이들은 끊임없는 업데이트와 지속적인 강화노력이 필요하다. 특히, 악의적 공격에 대한 방어를 위해서는 “상대방”이 정기적인 방어조치들을 뚫는 방법을 배운다는 사실을 감안해야 한다.

이 같은 노력의 일환으로는 주변환경에 대한 변화를 가하는 것, 보안계획에 대한 업데이트를 비롯, 잦은 훈련을 실시함으로써 보안 및 대처계획을 잘 연습하도록 하는 것이다. 보안노력의 또 다른 부분은 기업 자체의 운영에 대한 감사로, 품질 및 안전관리에 대한 감사가 이루어지는 것과 같은 식의 감독을 하는 것이다.

보다 더 많은 글로벌 기업들이 이 같은 관행을 자신의 공급업체들에게로까지 확대하고 있다. 이들은 공급업체에 대한 훈련세션을 제공하며 보통 같은 지역에 있는 다수의 업체들을 상대로 교육을 동시에 실시한다. 보안수준을 구축하고 유지하기 위해 여러 글로벌 기업에서는 거래에 앞선 보안감독과 함께 지속적인 그리고 때로는 비밀리의 현장 보안검사를 실시하기도 한다.

리질리언트 엔터프라이즈 수립을 위하여 (Building Resilient Enterprise)

‘상상할 수 없는 것을 상상하기 (Imaging the Unimaginable)’ 라는 말이 있다. 잠재적인 재앙의 충격을 가져다 줄 사건은 절대 일어날 것 같지 않지만 그럼에도 기업의 위험상태를 평가하는 관리자들은 가장 가능성 높은 리스크에도 관심을 가져야 한다. VaR(value-at-risk) 같은 확률모형은 정해진 사건의 가능성과 충격을 기초로 하기 때문에 한 쪽으로 치우치는 경향이 있는데, 발생가능성이 낮지만 치명적일 수도 있는 사건은 간과하고, 빈번한 위험에 초점을 맞추기 때문이다. 예를 들면 9/11테러 사건은 일부 준비하지 못한 사업에 큰 충격을 준 사건이었고 최근 창궐하고 있는 신종플루 역시 예견하지 못한 리스크 중에 하나이다.

이러한 사건은 확률모형 안에서 제대로 인식되지 않고, 위험을 파악할 수 있는 정보도 적절하지 않다. ‘유례없는 사건(rare events)’(쓰나미에서 테러에 이르기까지)은 예방할 방법이 없다 하더라도, 기업은 경영 및 자본구조를 그러한 상황에 맞춰서 조정해야 한다. 금융회사의 리스크관리에서 사용되는 스트레스 테스트(stress test)와 시나리오계획은 위험모형에서 전형적으로 누락되는 사건들이 초래할 잠재적인 충격을 이해하는 데 도움이 된다. 예를 들어 ‘스트레스 테스트’는 기업이 통계모형을 개발하지 않은 상황에서 특정 시나리오나 사건에 버티는 능력을 시험한다.

2003년 1.25 인터넷 대란, 옥션 등의 대형 개인정보보호유출사건, 그리고 2008년 조류독감 유행 등 심각한 사건, 사고가 발생했을 때, 항상 그래왔지만, 그 때만 잠시 논의와 조치가 거론되다가 일정 시간이 지나면 대부분 잠잠해졌다. 미국도 마찬가지인 것이 미국의 경제, 사회, 문화에 큰 영향을 미쳤던 9/11테러 이후 여러 기업을 대상으로 한 설문조사를 보면 대부분 리스크와 취약성에 관해 체계적으로 생각하지 않고 있다고 한다.

다만, 예외적으로 과거에 임원들이 납치되었거나 해외 공장에서 사보타주 등의 충격을 겪었던 회사들은 이미 9/11 이전에도 충격에 대한 대비를 어느 정도 갖추고 있었고, 이들 기업들은 탄력성을 강화하기 위하여 여러 조치를 취해온 반면, 과거에 특별히 공격으로 인한 피해를 입은 경험이 없는 기업들은 막연한 걱정만 하고 있을 뿐 바뀐 것이 아무것도 없다고 한다.

그러나 재해, 위기상황을 기회로 생각하고 이에 대한 대비를 통해 기업의 복원력, 탄력성을 높이는 것이야 말로 기업의 일상적인 유연성을 증가시켜 갈수록 빠르게 변하고 불확실해져 가는 상황과 시대에 대응할 수 있게 해 준다는 점에 대해서는 기업 경영자와 리스크관리 담당자가 인식을 공유하고 체계 수립과 실행에 노력해야 할 것이다. <끝>


/유종기 딜로이트 수석 컨설턴트 column_jongki@inews24.com

포토뉴스

 
가장 많이 본 뉴스
IT 시사 문화 연예 스포츠 게임 칼럼
  • 아이뉴스24의 뉴스를 이메일로 받아보세요.

브랜드웹툰홈바로가기
카드뉴스 더보기 >

SPONSORED

칼럼/연재
[글로벌 인사이트]후쿠시마는 안전하..
[글로벌 인사이트]중국 환율조작국..
[닥터박의 생활건강] 불면증 이겨내..
프리미엄/정보

 

아이뉴스24 TV

.