Top
검색버튼 메뉴버튼

Risk Management: 위기관리와 기업 보안 上

임직원의 안위를 사수하라

최진혁 | 55호 (2010년 4월 Issue 2)

인도양에서 일어난 쓰나미로 피해 지역에 급파됐다. 해당 지역에 출장 중이던 직원들을 수색하고, 실종된 사람이나 도움이 필요한 사람들의 신원을 파악하느라 며칠을 보냈다. 25개 현지 여행사와 함께 피해 지역에 있을 것으로 예상되는 모든 임직원의 소재를 정확히 찾아내는 일은 매우 어려웠다. 하지만 수많은 계열사 직원들의 출장 정보를 한데 모으고, 위기에 처한 여행객들의 수색 작업을 자동화할 수 있는 ‘트래블 로케이터(Travel Locator) 프로그램’을 운영하고 있었기에 그나마 다행이었다.
 
한번은 한밤중에 걸려온 필라델피아 사무소에 있는 동료의 전화로 잠이 깼다. 그는 스페인 마드리드에서 발생한 대형 화재 소식을 CNN에서 보고 전화했다고 말했다. 화재 발생 장소는 바로 딜로이트의 현지 회원사가 입주해 있는 건물이었다. 거의 동시에 스페인에 있는 회원사 최고경영자(CEO)의 상황 보고 전화를 직접 받았고, 곧 대책 마련에 들어갔다. 팀은 곧바로 위기관리 매뉴얼대로 활동을 개시했다.”
 
이는 딜로이트의 글로벌 위기관리실인 GSO (Global Security Office)를 총괄하고 있는 돈 에인슬리 실장이 실제로 수행한 일이다. 그는 미국 육군 공수부대원으로 복무한 뒤 테러 방지 대책 전문가 (counterterrorism specialist)로 미국 중앙정보국(CIA)에서 12년간 일한 이 분야의 베테랑이다. 실종자 수색이나 화재로부터 임직원을 보호하는 대응은 에인슬리 실장 업무의 일부에 불과하다. 그는 글로벌 회원사들의 인적 자원 관리 부서와 긴밀하게 협력하며, 이들의 리스크, 정보기술(IT), 법률 업무를 함께 다룬다. 그는 또 매주 최고 경영진에게 딜로이트 계열사의 경영에 영향을 미칠 만한 경제적, 지정학적 지표의 흐름과 변화를 브리핑한다. 출장 직원들에게 ‘위험 지역’을 알려주고 구체적인 여행 지침을 내리는 일도 그의 임무다. 회사 임직원이 상당히 위험한 국가로 여행할 계획이라면, 여행 일정을 확실히 챙기고 회사에서 그들을 찾아 조속히 안전을 확보해야 하는 경우를 대비해 연락 가능한 번호가 모두 들어 있는 명함과 인터내셔널 SOS의 24시간 알람 센터와 연락해 비상 상황에 대해 지원받을 수 있는 이머전시 월릿 카드(emergency wallet card)를 반드시 소지하게 한다.
 
임직원 보호 의무
이처럼 글로벌 조직의 위기관리와 기업 보안 업무는 그 책임과 역할이 매우 구체적이면서도 광범위하다. 이는 해당 회사에 위기관리가 얼마나 중요한지 상징적으로 보여준다. 에인슬리 실장은 “임직원의 안위가 시스템이나 소프트웨어보다 모든 면에서 훨씬 중요하다”고 강조한다.
 
9·11 사태 이후 미국 등 선진국의 글로벌 기업들은 위기관리와 기업 보안 업무를 매우 중요하게 여기고 있다. 북미·서유럽 선진국들은 ‘임직원 보호 의무(Duty of Care)’라는 이름으로 이러한 안전관리 조치를 제도화하고, 해외 지사나 법인을 비롯한 해외진출 조직이 이를 필수적으로 실행하게 하고 있다(DBR Tip 참조). 한국에 들어와 있는 글로벌 기업 80% 이상이 이러한 시스템을 활용해 임직원과 그들의 가족을 보호하고 있다. 이런 비상대응 및 위기관리 체계는 과거에 극도로 위험한 오지나 분쟁 지역에서 활동하는 무기거래 기업이나 석유·가스 개발 업체 등에서만 중요하게 다뤄졌었고, 대기업들도 고작해야 담당자를 두는 정도에 그쳤던 것과는 매우 대조적인 모습이다.
 
국내 기업들도 10여 년 전과 비교하면 많은 변화가 있었지만 해외 글로벌 기업과 비교하면 여전히 이 분야에 대해서는 무딘 편이다. 고객 개인정보 유출과 사이버테러, 해킹 등 이슈로 인한 정보시스템(IT)의 정보보호(Information Security) 관리업무 분야를 제외하고는 아직도 많은 업무가 안전관리실이나 보안부서, 비상계획팀을 중심으로 시설·외곽 경비와 출입통제, 영상감시, 예비군 및 민방위 관리에 그치는 형편이다. 게다가 조직 내 인사, 총무, 법무실 등 주요 부서와의 연계, 협조, 통제 등도 매우 미약한 실정이며 조직 내에서 담당 팀의 위상 제고는 더더욱 기대할 수 없다.
 
최고보안책임자(CSO)의 출현
전문가들은 선진 글로벌 기업들의 위기관리와 기업 보안관리의 특징을 이렇게 분석한다. 첫째, 이들 기업은 예기치 않은 상황을 미리 파악·분류하고 대처할 수 있도록 준비해두는 것을 기업의 핵심업무 중 하나로 삼는다. 둘째, 위기관리와 기업 보안을 기업 경영진 차원에서 고려하고 결정해야 하는 전략적 차원의 업무로 인정한다. 즉, 보안과 위기관리를 기업 경영에의 피해 최소화를 위한 주요 요소로서 관리해나가는 문화가 뚜렷하게 자리를 잡아가고 있다. 또 비상 상황 및 예기치 않은 재난에 대비한 적절한 대응 체계를 구축하고 비즈니스 연속성(business continuity)을 확보하는 위기관리 프로세스를 정립하고 있다.
 
리스크에 대비하는 문화라고 하면, 실제로 존재하지 않는 위험에 대해 강박적으로 집착하면서 두려움에 떨며 사는 모습을 떠올리기 쉽다. 하지만 실제로는 전혀 그럴 필요가 없으며, 정책(policies)과 기준(standards), 지침(guidelines)을 미리 정해놓고 회사 조직과 임직원은 거기에 맞춰 적절한 행동을 취하면 된다. 이러한 정책과 기준, 지침을 정해 놓으면 크게 두 가지 점에서 유용하다. 위기 상황에서 임직원은 기준에 따라 훈련한 대로 움직이므로 효과적으로 위기에 대처할 수 있다. 또 기준을 실질적인 목표와 성과로 삼아 기업이 위기를 얼마나 잘 관리하고 있는지를 판단하고 조정할 수 있다.
 
이러한 위기관리 문화를 새롭게 일구고 지속적으로 발전시키는 일이 최고보안책임자인 CSO(Chief Security Officer)의 역할이다. 이제까지 지식경영, 다양성 확보, 혁신 등 다양한 분야에서 조직의 변화를 이끌어내기 위한 임원급 직책이 새롭게 생겨났지만, 기업 내부에서 CSO의 출현은 사실상 큰 변혁이나 다름없었다. 과거 VIP 임원의 신변 보호나 물리적 보안 체계 수립과 같은 업무 영역에서 진화한 이 임무는 이제 글로벌 기업에서는 최고경영진에게 리스크와 위기관련 주요 의사결정사항을 직접 보고하고 자문하는 고급 관리직의 역할로 자리잡고 있다. 미국의 경우 그 중 상당수는 FBI를 비롯한 연방·형사 수사기관 출신이거나 정보기관, 국가 수반의 경호실, 군 출신인 경우가 많다.
 
미국 국가경쟁력위원회(The Council on Com-petitiveness)에서 발표한 설문조사 결과를 살펴보면, 응답 기업 중 63%가 위기관리와 기업 보안 업무를 위해 CSO를 두고 있었다. 특히 CSO는 대부분 부사장 급이었고 그중 33%는 CEO에게 직접 보고하는 직속조직에 소속되어 있다고 한다.

CSO가 하는 일
글로벌 기업에서 위기관리와 기업 보안 업무들은 여러가지가 있지만 이러한 업무들의 최종 목적은 임직원의 안전(safety) 확보로 귀결된다. 위기관리 및 보안관리 부문에 역사와 역량이 뛰어난 것으로 정평이 나 있는 IBM의 기업 보안 구성 체계와 업무 영역을 통해 CSO의 책임과 역할 범위를 알아보자.
 
물리적 보안(Physical Security)위험 평가(Risk Evaluation & Assessment), 건물·시설 외곽·주변 보안(Perimeter Security), 출입 통제(Access Control), 영상 감시(CCTV Surveillance), VIP 보호(Executive Protection), 행사 보안(Event Security), 잠금 열림 제어(Lock & Key Con-trol), 기타 각종 전자기적 보안 시스템 및 프로그램 등을 포함하는 가장 일반적이고 전형적인 보안 형태다.
정보보호(Information Security·Protection)정보 분류·등급관리 및 통제(Classification & Control of Information), 정보자산 위험 분석(Information Asset Risk Analysis), IT 시스템 보안과의 연계 등을 포함하는 기업 정보자산 보호 활동을 총괄하는 프로그램이다.
비상대응 및 위기관리(Emergency Planning & Crisis Management)각종 비상 상황 및 재난에 대비해 비상 계획(Emergency Plan)을 작성(Planning)하고 테스트(Drill)를 실시하며 비상시에 적절하고 효과적으로 대응(Response)함으로써 손실과 피해를 최소화하는 활동이다. 또 위기관리(Crisis Management)팀을 구성하고 시나리오를 구상해 모의훈련(Table-top Exercise)을 실시하며, 비상·위기 상황을 최대한 빠른 시간 내 대처해 비즈니스 연속성(Business Continuity)을 확보할 수 있게 하는 활동을 포함한다. 보다 세부적으로는 비상대응 계획 수립 및 대응, 위기관리팀 구성 및 실행, 임원승계 계획 실행, 외부 비상 서비스 제공 기관과의 연계, 테러 대응, 비즈니스 연속성 확보(IT시스템 재해 복구 포함) 등으로 나뉜다.
사건, 사고조사 및 관리(Incident Management & In-vestigations)테러, 시위, 범죄, 폭력, 성희롱 사건 및 기타 기업에 위험을 초래하거나 대외 이미지·신뢰도(Brand Image·Reputation·Credibility)에 영향을 미칠 수 있는 기업 내 구성원과 관련되는 사건과 사고를 조사(Interview & Investigations)한다. 또 사안의 실체를 발견·확인하고 데이터베이스(DB)화함으로써 장래의 리스크나 법적 문제(Legal Liability)를 예방하기 위한 활동을 포함한다.
내부 보안 교육, 컨설팅 및 감사(Security Consulting & Reviews)보안 의식(Security Awareness)의 함양·제고를 위해 전체 경영진 및 임직원을 대상으로 각 사업장 별 특성에 맞는 계몽·홍보(Cus-tomized Education) 및 각종 위기관리·보안 교육을 시행한다. 또 보안의 목표가 달성되고 자산 보호를 위한 의무 사항(Requirements)이 잘 준수되고 있는지 자문·권고(Consulting)하고, 정기적·부정기적으로 감사(Review)를 실시한다.
특수 프로그램 여행·출장 보안(Travel Advisory ·Security), 우편물 보안(Mail & Mailroom Security), 물류 보안(Logistics & Warehouse Security), 운송 보안(Transportation & Aviation Security), 적재 보안(Loading Dock Security) 등 다양한 프로그램을 포함한다.(출처: IBM Corporate Security)
 
국내에서도 최근 아이티, 칠레, 미국 등지에서의 지진 및 폭설, 폭우 등의 잇따른 자연재해 발생과 태국, 중동, 아프리카 지역에서의 끊임없는 현지 치안 및 보안 문제, 테러 상황 발생으로 해외 출장자 및 주재원의 안전에 대한 염려의 목소리가 그 어느 때보다도 높아지고 있다. 기업은 글로벌 비즈니스가 계속 증가함에 따라 다양한 형태의 위험요소에 노출되고 있는 해외 임직원들의 안전관리를 개선하는 한편 사전에 위기관리와 기업 보안에 대한 전략과 통제 체제를 마련해야 한다. 이러한 패러다임의 변화는 임직원의 생산성 제고와도 직결되며 더 나아가 궁극적으로는 전사적 리스크 관리와 위기대응능력 향상에 크게 도움이 된다.
 
특히 남아공 월드컵을 두 달 앞두고, 현지의 치안, 범죄 등 상황이 그다지 나아지지 않고 있는 가운데 여러 위기상황에 대한 민간기업들의 사전 준비 필요성이 그 어느 때보다 높아지고 있다. 가장 우려되고 있는 현지 치안상태의 불안과 숙박·교통 문제뿐 아니라 매우 열악한 도시 기반시설로 인해 행사 기간 중 전력, 의료 등의 서비스가 극히 제한적으로 제공될 가능성도 전문가들 사이에서 지적되고 있는 실정이다. 도로시설의 낙후로 인한 교통 대란, 전력 수급문제로 인한 난방 및 통신망 사용 장애 위험, 의료 전문인력과 시설의 부족, 전염병 유행 등 치안 말고도 심각한 문제는 한두개가 아니다. 다음 호에서는 이러한 복합적인 위험의 결정체인 남아공 월드컵 사례를 중심으로 현지에 파견되는 기업의 임직원을 보호하고 현지에서 수행하는 비즈니스의 연속성을 유지하며 돌발상황 등에 대처하기 위해 무엇을 어떻게 준비해야 하는지 살펴볼 예정이다.
 
[DBR TIP]임직원 보호 의무 (Duty of Care)는 이렇게
 
딜로이트만 하더라도 글로벌 회원사를 포함해 하루 평균 1만 50002만 5000명의 직원이 지방이나 해외로 출장을 다닌다. 무리한 출장 일정으로 인한 건강악화, 이동 시 교통사고 등 흔히 일어나는 사고뿐 아니라 위험 지역에서의 갑작스런 폭동이나 폭탄 테러로 인한 피해, 인질, 납치 및 쓰나미나 해상 안전 사고와 같은 자연 재해로 인한 실종 등의 사건, 사고 사례는 우리가 생각하는 것보다 매우 자주 발생하고 있다.
글로벌 기업 임직원(부양가족 포함)의 해외 출장·파견 관련 실제 사고사례
- 국제선 비행기 기내에서의 가슴 통증 또는 심장마비
- 현지 풍토병인 뎅기열 감염, 신종플루 대유행시 감염(2009년), 최근 남아공 현지 전염병 발생
(2010년 2월 이후 리프트밸리열(Rift Valley Fever)로 40명 이상 감염 확진, 2명 사망)
- 현지 폭동으로 억류되거나 폭탄 테러로 인한 인명 피해
- 비행기 공중 납치, 해상 해적행위에 의한 피해 및 납치(인질 협상)
- 쓰나미, 지진, 폭우, 홍수 등 국지적 자연재해로 인한 실종 및 부상
- 이동 중 교통사고, 총기 기습 등 돌발상황으로 인한 인명 상해
- 공갈, 협박, 조직범죄 피해, 살해, 강도, 택시 등 현지 대중교통 사용에 따른 위험
- 현지법 위반 또는 범죄 오인으로 인한 구금, 재판, 현지인과 시비
- 갑작스런 환경변화로 인한 심한 스트레스 장애, 언어소통 문제, 임직원 및 가족 치료 문제
의료 및 보안, 오지에서의 질병과 사고에 대한 대처도 이제 ‘하늘의 뜻’이 아니라 ‘인간의 뜻’으로 얼마든지 개선할 수 있고 그 피해를 최소화할 수 있다. 기본적으로 비상시 대응 계획을 수립해놓고 충분한 교육을 실시해야 하며, 인근 지역 기관의 의료 수준과 가용성을 세밀히 확인해둬야 한다. 인접 선진국과 본국으로의 의료 이송 등이 필요할 경우에 대비해 육상 및 항공 앰뷸런스, 동반 의료진 및 의료 장비와 약품 등을 어떻게 확보할 것인지 미리 계획해두어야 한다. 해외 출장자와 파견 근로자들이 건강 및 보안 문제가 생길 때 전 세계 어디에서나 365일 24시간 한국어를 비롯한 다중 언어로 소통할 수 있는 콜센터의 활용도 중요하다. 이를 위해 의료 인력 및 보안 인력을 갖춘 글로벌 전문 서비스 네트워크를 활용하는 방법도 매우 효과적이다.
출처: 인터내셔널 SOS (www.internationalsos.com)
 
참고문헌
Travel Security Online (http://www.internationalsos.com/en/) 남아공 정보 - 인터내셔널 SOS, 컨트롤리스크그룹(Control Risks) /
위기의 CEO(미래 20년을 대비하는 기업 생존 전략), 윌리엄 G. 파렛 저, 양승우 역, 2008년 / 리질리언트 엔터프라이즈(The Resilient Enterprise): 글로벌 기업의 비즈니스 연속성 확보 전략, 요시쉐피(MIT교수) 저, / 딜로이트 안진회계법인 기업리스크자문본부 역, 2006년
 
편집자주 글로벌화가 가속되면서 기업 임직원의 해외 파견 및 출장은 갈수록 늘어나고 있으며, 석달이 채 남지 않은 남아공 월드컵 등으로 인해 해외에서 임직원의 안전을 어떻게 지킬 것인지에 대한 관심이 고조되고 있습니다. 기업에서 임직원이야말로 가장 중요한 자산입니다. 임직원에 대한 체계적인 안전관리 및 위기관리 활동은 임직원의 생산성 제고와 직결되며 궁극적으로는 전사적 위기관리와 대응 능력 향상에 큰 도움이 됩니다. 동아비즈니스리뷰(DBR)는 글로벌 기업의 위기관리와 기업 보안의 모범 사례를 분석하고, 가장 위험한 지역에서 처음 열리는 대규모 국제 행사로 평가받고 있는 남아공 월드컵에 참여하는 국내 기업들이 무엇을, 어떻게 대처해야 할지 상·하에 걸쳐 소개합니다.
  • 최진혁 | 경찰청 해커수사대, 대통령 경호실, 인터폴(INTERPOL) 아시아 연락관을 거쳐, 한국 IBM Security Program Manager와 NHN Global Security & Risk Management Director를 역임했다. 현재 경찰대 및 용인대 외래 교수와 한국 기업 보안협의회(KCSMC)의 회장


    이 필자의 다른 기사 보기
관련기사