“인도양에서 일어난 쓰나미로 피해 지역에 급파됐다. 해당 지역에 출장 중이던 직원들을 수색하고, 실종된 사람이나 도움이 필요한 사람들의 신원을 파악하느라 며칠을 보냈다. 25개 현지 여행사와 함께 피해 지역에 있을 것으로 예상되는 모든 임직원의 소재를 정확히 찾아내는 일은 매우 어려웠다. 하지만 수많은 계열사 직원들의 출장 정보를 한데 모으고, 위기에 처한 여행객들의 수색 작업을 자동화할 수 있는 ‘트래블 로케이터(Travel Locator) 프로그램’을 운영하고 있었기에 그나마 다행이었다.
한번은 한밤중에 걸려온 필라델피아 사무소에 있는 동료의 전화로 잠이 깼다. 그는 스페인 마드리드에서 발생한 대형 화재 소식을 CNN에서 보고 전화했다고 말했다. 화재 발생 장소는 바로 딜로이트의 현지 회원사가 입주해 있는 건물이었다. 거의 동시에 스페인에 있는 회원사 최고경영자(CEO)의 상황 보고 전화를 직접 받았고, 곧 대책 마련에 들어갔다. 팀은 곧바로 위기관리 매뉴얼대로 활동을 개시했다.”
이는 딜로이트의 글로벌 위기관리실인 GSO (Global Security Office)를 총괄하고 있는 돈 에인슬리 실장이 실제로 수행한 일이다. 그는 미국 육군 공수부대원으로 복무한 뒤 테러 방지 대책 전문가 (counterterrorism specialist)로 미국 중앙정보국(CIA)에서 12년간 일한 이 분야의 베테랑이다. 실종자 수색이나 화재로부터 임직원을 보호하는 대응은 에인슬리 실장 업무의 일부에 불과하다. 그는 글로벌 회원사들의 인적 자원 관리 부서와 긴밀하게 협력하며, 이들의 리스크, 정보기술(IT), 법률 업무를 함께 다룬다. 그는 또 매주 최고 경영진에게 딜로이트 계열사의 경영에 영향을 미칠 만한 경제적, 지정학적 지표의 흐름과 변화를 브리핑한다. 출장 직원들에게 ‘위험 지역’을 알려주고 구체적인 여행 지침을 내리는 일도 그의 임무다. 회사 임직원이 상당히 위험한 국가로 여행할 계획이라면, 여행 일정을 확실히 챙기고 회사에서 그들을 찾아 조속히 안전을 확보해야 하는 경우를 대비해 연락 가능한 번호가 모두 들어 있는 명함과 인터내셔널 SOS의 24시간 알람 센터와 연락해 비상 상황에 대해 지원받을 수 있는 이머전시 월릿 카드(emergency wallet card)를 반드시 소지하게 한다.
임직원 보호 의무
이처럼 글로벌 조직의 위기관리와 기업 보안 업무는 그 책임과 역할이 매우 구체적이면서도 광범위하다. 이는 해당 회사에 위기관리가 얼마나 중요한지 상징적으로 보여준다. 에인슬리 실장은 “임직원의 안위가 시스템이나 소프트웨어보다 모든 면에서 훨씬 중요하다”고 강조한다.
9·11 사태 이후 미국 등 선진국의 글로벌 기업들은 위기관리와 기업 보안 업무를 매우 중요하게 여기고 있다. 북미·서유럽 선진국들은 ‘임직원 보호 의무(Duty of Care)’라는 이름으로 이러한 안전관리 조치를 제도화하고, 해외 지사나 법인을 비롯한 해외진출 조직이 이를 필수적으로 실행하게 하고 있다(DBR Tip 참조). 한국에 들어와 있는 글로벌 기업 80% 이상이 이러한 시스템을 활용해 임직원과 그들의 가족을 보호하고 있다. 이런 비상대응 및 위기관리 체계는 과거에 극도로 위험한 오지나 분쟁 지역에서 활동하는 무기거래 기업이나 석유·가스 개발 업체 등에서만 중요하게 다뤄졌었고, 대기업들도 고작해야 담당자를 두는 정도에 그쳤던 것과는 매우 대조적인 모습이다.
국내 기업들도 10여 년 전과 비교하면 많은 변화가 있었지만 해외 글로벌 기업과 비교하면 여전히 이 분야에 대해서는 무딘 편이다. 고객 개인정보 유출과 사이버테러, 해킹 등 이슈로 인한 정보시스템(IT)의 정보보호(Information Security) 관리업무 분야를 제외하고는 아직도 많은 업무가 안전관리실이나 보안부서, 비상계획팀을 중심으로 시설·외곽 경비와 출입통제, 영상감시, 예비군 및 민방위 관리에 그치는 형편이다. 게다가 조직 내 인사, 총무, 법무실 등 주요 부서와의 연계, 협조, 통제 등도 매우 미약한 실정이며 조직 내에서 담당 팀의 위상 제고는 더더욱 기대할 수 없다.
최고보안책임자(CSO)의 출현
전문가들은 선진 글로벌 기업들의 위기관리와 기업 보안관리의 특징을 이렇게 분석한다. 첫째, 이들 기업은 예기치 않은 상황을 미리 파악·분류하고 대처할 수 있도록 준비해두는 것을 기업의 핵심업무 중 하나로 삼는다. 둘째, 위기관리와 기업 보안을 기업 경영진 차원에서 고려하고 결정해야 하는 전략적 차원의 업무로 인정한다. 즉, 보안과 위기관리를 기업 경영에의 피해 최소화를 위한 주요 요소로서 관리해나가는 문화가 뚜렷하게 자리를 잡아가고 있다. 또 비상 상황 및 예기치 않은 재난에 대비한 적절한 대응 체계를 구축하고 비즈니스 연속성(business continuity)을 확보하는 위기관리 프로세스를 정립하고 있다.
리스크에 대비하는 문화라고 하면, 실제로 존재하지 않는 위험에 대해 강박적으로 집착하면서 두려움에 떨며 사는 모습을 떠올리기 쉽다. 하지만 실제로는 전혀 그럴 필요가 없으며, 정책(policies)과 기준(standards), 지침(guidelines)을 미리 정해놓고 회사 조직과 임직원은 거기에 맞춰 적절한 행동을 취하면 된다. 이러한 정책과 기준, 지침을 정해 놓으면 크게 두 가지 점에서 유용하다. 위기 상황에서 임직원은 기준에 따라 훈련한 대로 움직이므로 효과적으로 위기에 대처할 수 있다. 또 기준을 실질적인 목표와 성과로 삼아 기업이 위기를 얼마나 잘 관리하고 있는지를 판단하고 조정할 수 있다.
이러한 위기관리 문화를 새롭게 일구고 지속적으로 발전시키는 일이 최고보안책임자인 CSO(Chief Security Officer)의 역할이다. 이제까지 지식경영, 다양성 확보, 혁신 등 다양한 분야에서 조직의 변화를 이끌어내기 위한 임원급 직책이 새롭게 생겨났지만, 기업 내부에서 CSO의 출현은 사실상 큰 변혁이나 다름없었다. 과거 VIP 임원의 신변 보호나 물리적 보안 체계 수립과 같은 업무 영역에서 진화한 이 임무는 이제 글로벌 기업에서는 최고경영진에게 리스크와 위기관련 주요 의사결정사항을 직접 보고하고 자문하는 고급 관리직의 역할로 자리잡고 있다. 미국의 경우 그 중 상당수는 FBI를 비롯한 연방·형사 수사기관 출신이거나 정보기관, 국가 수반의 경호실, 군 출신인 경우가 많다.
미국 국가경쟁력위원회(The Council on Com-petitiveness)에서 발표한 설문조사 결과를 살펴보면, 응답 기업 중 63%가 위기관리와 기업 보안 업무를 위해 CSO를 두고 있었다. 특히 CSO는 대부분 부사장 급이었고 그중 33%는 CEO에게 직접 보고하는 직속조직에 소속되어 있다고 한다.
최진혁
경찰청 해커수사대, 대통령 경호실, 인터폴(INTERPOL) 아시아 연락관을 거쳐, 한국 IBM Security Program Manager와 NHN Global Security & Risk Management Director를 역임했다. 현재 경찰대 및 용인대 외래 교수와 한국 기업 보안협의회(KCSMC)의 회장
