Article at a Glance-전략

사건 1

올해로 설립된 지 52년이 되는 타깃(Target)은 저렴한 가격에 상품을 유통하는 미국의 3대 대형 마트다. 하지만 작년 12월 최대 1억1000만 명에 달하는 고객의 신용정보가 해커들에 의해 유출되는 사건이 벌어졌다. 이는 미국 전체 인구의 3분의 1에 해당하는 엄청난 숫자이며 이번 사건으로 인해 타깃의 신뢰도는 역사상 최저로 떨어졌다.

사건 2

신용정보회사 코리아크레딧뷰로(KCB)의 박모 차장은 KB국민카드, 롯데카드, NH농협카드 3사에 파견돼 카드사의 시스템 구축 업무를 맡으면서 각 회사의 전산망에 접근, KB카드 5300만 명, 롯데카드2600만 명, NH카드 2500만 명 등 무려 총 1억400만 건이나 되는 개인정보를 이동식저장장치(USB)를 통해 유출했다.

비슷한 시기에 엄청난 규모의 개인정보 유출이라는 유사한 사건이 한국과 미국에서 벌어졌다. 엄청난 소비자들을 혼란에 빠뜨린 위기 속에서 리더들이 대처하는 모습은 확연히 달랐다. 한쪽은 위기 상황 속에서도 리더십을 확실히 보여주는 커뮤니케이션을 했고, 또 다른 한쪽은 그렇지 못했다. 이 글에서는 한국과 미국에서 거의 동시에 벌어진 사상 최악의 위기 속에서 리더들이 어떻게 커뮤니케이션을 했고, 이것이 소비자들의 신뢰에 어떤 영향을 주는지에 대해 분석하고자 한다. 타깃의 대응을 분석하는 데는 <월스트리트저널>의 “미국을 충격에 빠뜨린 ‘타깃’ 신용정보 유출 사건 뒷얘기(2014. 2. 20)”와 타깃의 CEO인 그렉 스타인하펠 대표가 2014년 1월13일 미국 CNBC와 30여 분 동안 가진 인터뷰를 참고했다.

1. 빠르게 조치하고, 자주 소통하라

타깃의 대응:타깃의 고객 정보가 해커들에 의해 유출된 것을 CEO 스타인하펠이 알게 된 것은 일요일인 2013년 12월15일이었다. 그는 위기를 감지하자마자 바로 고객 정보 시스템 환경이 안전한지, 소비자들이 안전하게 쇼핑이 가능한지를 확인하도록 지시하고 오후 6시경에 안전조치가 이뤄졌다는 보고를 받았다. 사건 발생 이틀째인 16일에는 사건 조사에 본격적으로 착수했고, 17일에는 전국의 매장 직원들이 고객들에게 어떻게 대처해야 하는지 등의 준비를 거쳐 18일부터 고객들에게 통지하기 시작했다. 타깃은 이후 12월19일부터 올해 2월4일 사이에 총 11차례에 걸쳐 고객에게 지속적으로 상황을 업데이트하고 안내하는 커뮤니케이션을 실시했다.

한국 카드 3사의 대응: 2011년 개정된 개인정보보호법에 따르면 개인정보 유출 상황에서 해당 금융기관은 바로 피해 사실과 대응 조치를 개인 고객에게 알려주도록 돼 있다. 상식적으로도 소비자의 입장에서 생각해보면 나의 개인정보가 유출됐다는 사실과 대응책을 빨리 알려주는 회사와 뒤늦게 알려주는 회사에 대한 감정이 어떨지는 뻔하다. 하지만 이번에 지체 없이 고객에게 통보한 회사는 단 한 곳도 없었다. 3개 카드사는 검찰의 사고 발표 후 20일이 지날 때까지 정보 유출 통지서를 발송하지 않았다. 카드사들은 고객들에게 바로 통지하지 않은 이유에 대해 “e메일, 우편을 한꺼번에 발송하면 고객들의 재발급, 해지 신청이 몰려들어 업무 처리에 혼란이 생길 수도 있다” 혹은 “대금 청구서와 함께 보내려고 그랬다” 같은 지극히 자기 편의 중심적인 발언을 해 소비자와 여론의 분노를 자극했다.

교훈:타깃의 CEO는 위기 대응 및 소통과 관련해 고객의 입장을 고려한 조치를 취했다. 또한 투명하게, 진실되게, 가능한 빨리 소통한다는 명확한 원칙을 갖고 있었다. 그는 실제 그렇게 조치하고 소통했다. 하지만 국내 카드 3사는 말로는 책임 통감이니 무거운 책임감을 언급했는지 몰라도 실제로는 혼돈에 빠진 고객의 입장을 배려하는 조치나 소통은 미흡했다.

2. 여론을 대응하면서 ‘법적 사고’로 판단하거나 소통하지 말라

타깃의 대응:타깃의 고객 정보 유출 규모는 사건 초기인 2013년 12월 중순경만 해도 약 4000만 명 수준의 신용카드와 직불카드 번호였다. 하지만 올해 1월9일 미국의 사이버 범죄 수사 담당 비밀 검찰국은 카드 번호 외에 무려 7000만 건의 이름, 주소, e메일 주소 등의 추가 유출이 있다고 알렸다. <월스트리트저널>에 따르면 타깃의 일부 임원들은 카드 번호가 아닌 다른 데이터 도난 사실까지 타깃이 공개할 법적 책임이 없으며 7000만 명이라는 엄청난 숫자에 거부감을 보였다. 하지만 스타인하펠은 1월10일 이 사실을 공개했고 3일 후 신문 전면광고를 통해 사과했다. 이 밖에도 스타인하펠은 사건을 인지한 지 나흘째 되던 날 직원들이 만들어 온 보도자료가 기업의 입장만을 보호한다며 마치 변호사가 쓴 것 같다고 불만을 제기했다. 결국 직원들은 보도자료를 다시 써야 했다.

한국 카드 3사의 대응: NH농협카드의 이신형 사장 대행은 국회의원들에게 “솔직히 말씀드리면 저희들이 피해자입니다. 엄격히 이야기하면”이라고 발언하는 실수를 저지른다. 이에 대해 국회의원으로부터 “지금 말장난하는 거예요”라는 비난과 “아직도 정신을 못 차린” “적반하장” 등 여론으로부터의 공격을 받았다. 이신형 사장 대행이 “엄격히 이야기하면”이라는 것은 “법적으로 엄밀히 따져보면”이란 뜻으로 해석할 수 있다. KCB라는 제3자가 유출한 것이므로 법적으로 자신들도 피해자라는 주장일 것이다. 물론 법정에서 변호사가 그런 주장을 할 수 있을지는 모른다. 하지만 개인정보가 유출된 상황에서 여론에 대고 최대 피해자인 소비자들을 위로해야 할 위치에 있는 회사 대표가 자신들이 피해자라고 하는 것은 얼마나 위기 대응 커뮤니케이션에 기초적인 준비도 돼 있지 않은지를 여실히 보여준다.

교훈:위기 상황에서 리더와 조직은 변호사와 함께 법적 책임에 대한 검토에 들어가게 된다. 당연히 필요한 조치다. 하지만 위기 관리에서 기업의 리더들이 지속적으로 실수를 하고 신뢰를 잃는 것은 법적 사고를 통해 여론을 상대하기 때문이다. 법정에서 피고는 계속 무죄를 주장하면서 자신을 보호하기 위한 논리를 펼 수 있다. 하지만 여론에서는 기업이 자기 자신을 보호하기보다 기업과 피해를 당한 소비자 사이의 ‘관계’를 회복하는 발언을 해야 한다. 법적 사고는 법정에서 필요한 것이며 여론을 대응할 때에는 여론의 입장을 고려한 사고와 소통을 해야 한다. 여수 기름 유출 사고 관련 당정협의에서 보상 관련 질문을 받은 윤진숙 전 해양수산부 장관이 “실제로 1차 피해자는 GS칼텍스이고 2차 피해자가 어민”이라고 했다가 결국 논란이 커져 사퇴하게 된 것도 여론적 사고를 제대로 하지 못했기 때문이다. GS칼텍스가 법적으로 피해자일 수는 있겠지만 이런 경우 장관은 “최대 피해자인 어민의 보상 문제를 빨리 타결하기 위해 정부는 기업을 포함해 최대한의 노력을 기울일 것이고 GS 칼텍스의 책임 문제는 법정에서 밝혀질 것” 정도로 발언했더라면 어땠을까?

3. 위기관리 과정에서 또 다른 위기를 만들지 말라

타깃의 대응:스타인하펠은 타깃의 모든 고객들에게 1년짜리 개인정보 도난 보험을 제공하는 방안을 생각했다. 문제는 타깃 고객 중에는 회사가 고객 정보를 갖고 있는 경우도 있고 아닌 경우도 있는데 두 부류의 고객 모두에게 도난보험을 무료로 제공한다는 것은 실질적으로 모든 미국인에게 무료로 제공한다는 것이며 엄청난 비용이 든다. 하지만 스타인하펠은 기업 내부의 이런 우려에도 불구하고 이 방안을 실천했다.

한국 카드 3사의 대응:이번에 고객 정보 유출 사고를 낸 KCB는 정보유출 피해자가 신청하면 1년간 무료로 신용정보 보호서비스를 제공하겠다고 했다. 이는 카드사로부터 정보유출을 통보받은 고객에게만 제공된다. 언론 보도에 따르면 KCB가 유출사건 이후에도 이를 유료로 판매해 비난이 일자 금감원이 판촉 자제와 무료 제공을 요구해 무료 서비스가 이뤄졌다. 자발적인 조치는 아니었던 셈이다. 또한 유출사고를 낸 회사가 신용정보 보호 서비스를 제공한다는 것 자체가 문제의 소지를 갖고 있다.

교훈:스타인하펠은 위기가 발생하고 난 뒤 단 한 가지에만 집중했다. “고객을 위해 옳은 일을 한다(Do the right thing for our guest).” 실제 그는 사건 후 아무리 비용이 많이 드는 일이더라도 불안해 하는 고객을 위해 옳은 일이라면 임원진의 반대를 무릅쓰고 밀어붙였고 타깃의 이사회는 스타인하펠에 대해 “완전한 신뢰”로 응답했다. 스타인하펠은 “타깃은 해킹 사건으로 기억되는 것이 아니라 해킹에 어떻게 대처했느냐로 기억될 것”이라고 말했다. 이 부분은 매우 중요한 교훈을 알려준다. 위기관리란 ‘무엇이 발생했는가(what happened)’보다는 ‘발생한 사건에 대해 무엇을 하는가(what you do with what happened)’에 대한 것이다. 즉, 위기관리자는 발생한 위기 그 자체(예: 신용카드 개인정보 유출)만을 위기로 바라보지 말고 위기관리(예: 신용카드 개인정보 유출 사태에 대해 카드사는 위기 사태를 관리하기 위해 무엇을 하는가) 과정에서도 ‘대응의 위기’가 발생할 수 있다는 점을 이해해야 한다.

흔히 위기(危機)에는 위험(危)과 기회(機)가 있다는 말을 하는 것은 이 부분과 직접적으로 연결된다. 즉 위기사건 발생을 인식한 시점에서 위기사건은 더 이상 어떻게 되돌릴 수 없는 상황으로서 위험이지만 사건에 대한 위기관리는 어떻게 하느냐에 따라 위험이 될 수도 있고 기회가 될 수도 있다.

위기가 처음 시작될 때 위기관리라는 프로세스에서 오는 위험을 인식하지 못하면 대응의 전략 수립, 속도, 경로, 방법 등에서 첫 단추를 잘못 끼우는 것과 같다. 그렇다면 어떻게 해야 할까? 위기 사건이 발생하면 CEO를 중심으로 위기관리팀을 구성, 향후 위기 대응 단계에서 발생할 수 있는 위험과 기회 요소를 찾아내야 한다. 기회 요소를 찾기 위해서 위기관리팀에서는 “이미 벌어진 부정적인 위기 사건에 대해 어떤 조치를 취하고, 어떤 메시지를 전달하는 것이 책임감 있는 행동인가”라는 질문을 놓고 전략 방향을 찾아나가야 한다. 스타인하펠처럼 “우리는 이 위기에 어떻게 대처했는가로 기억되고 싶은가”라는 질문을 던져봐야 하는 것이다.