북한 리스크 관리 방안

북한 어디로 튈까, 기업들 촉각 세워라

97호 (2012년 1월 Issue 2)

 
 
 
 
2012년 임진년 새해, 국내 경제와 기업 비즈니스를 위협할 가장 큰 리스크로 ‘북한’을 꼽는 데는 이견이 없어 보인다. 동북아의 긴장감이 극도로 고조되면서 우리 민간 기업 역시 ‘북한 리스크’에 대한 우려와 불안, 그리고 관심은 그 어느 때보다 높다.
 
개혁과 개방정책으로 인한 북한 리스크 축소와 같은 베스트 시나리오보다는 향후 6개월 이내 핵실험, 미사일 발사 강행, 무력 국지도발 등으로 인한 한반도 상황의 불확실성, 불안정성을 주장하는 해외 전문가의 시각과 분석1 이 적지 않게 나오고 있는 것이 사실이다. 과거에도 그래왔지만 북한의 돌발 행동 또는 체제변화는 우리나라뿐 아니라 전 세계의 주목을 받는 사안이다. 실제로 많은 사람들이 우려하는 전면전은 아니더라도 국지적 무력충돌이 발생하는 경우 그 심각성에 따라 국내외 투자자들의 투자심리에 악영향을 주는 데 머물지 않는다. 거기서 한발 더 나가 극도의 사회혼란으로 인해 재해, 재난에 못지 않는 엄청난 경제활동의 마비와 기업활동 중단 영향도 예상해볼 수 있다.
 
과거를 돌아봤을 때 일반적으로 북한 관련 사태가 증폭되면 대부분의 국내 기업들은 부랴부랴 비상대책반을 마련해 미디어를 통해 사태파악을 하고 국내외 주주, 투자자, 거래처, 임직원 등 주요 이해관계자의 동요를 막는 한편 자금과 원부자재의 흐름과 계약관계 등을 재점검해 안전재고나 비상재원 확보 준비를 시작한다.
 
대기업들은 북한 리스크의 영향이 장기화되거나 심각해지는 것에 대비해 최악의 경우를 상정하는 비상사태 시나리오를 내부적으로 작성하고 신상품 출시나 마케팅, 신규 사업 계획 등 경영전략 차원에서 재검토를 시행한다. 물론 대부분 기업의 주요 재무성과와 지표 하락을 막고 유동성을 확보하는 것에 초점이 맞춰져 있다. 실제로 상황이 나빠지면 불요불급한 업무를 최대한 제한하고 부족한 자원을 몇몇 핵심업무 또는 서비스에 집중하는 소위 ‘플랜 B’라고 하는 비상경영 체제로 돌입하는 수순을 밟게 된다.
 
하지만 많은 기업들이 간과하고 있는 것이 있다. 기업들은 북한 리스크와 같이 발생 가능성은 낮지만 심각한 충격과 영향을 미치는 사건이 발생했을 때 기업이 어떤 특징적 단계를 거치게 되는지를 알아야 한다. 또 사건 발생 이후 되도록 빨리 정상적인 기업활동을 할 수 있도록 하는 대응능력을 확보해야 한다. 이는 기존의 북한 리스크와 관련된 비상경영 조치는 지극히 단기적이고 임시 방편적으로 이뤄져 왔고 대부분 선제적이고 적극적인 사전 대비가 아니라 이벤트 발생에 즈음해 조직이 급조되는 등 많은 문제들이 지적돼 온 것과 맥을 같이한다.
 
기업들은 사태 진전에 따라 본사나 사업장 접근 불가, 상당수 임직원의 결근 등 기업활동의 주요 자원 손상뿐 아니라 전력-통신, 수도, 가스 등 사회 인프라의 공급 제한, IT 시스템 사용 불가와 같은 기업활동의 연속성을 저해하는 심각한 상황도 역시 고려해야 한다.
 
결국 위기대응 준비체계가 기업 내 프로세스, 조직, 인적, 물적 자원 전반에 내재화돼야 한다는 것이다. 이러한 기반과 자원확보 등의 준비 없이는 사태 발생 후 아무리 비상경영 조치를 취하더라도 실제 상황에서 제대로 작동하지 않을 가능성이 높다.
 
북한 리스크는 어느 날 갑자기 발생하는 것이 아니라 우리 기업 비즈니스의 일상 속에 견고히 자리잡고 있는 항시적 리스크가 돼버렸다. 하지만 이러한 이유로 아이러니하게 그 중요성과 대비의 필요성을 간과한 채 지내온 것 역시 사실이다. 물론 기본적으로 북한 리스크는 정부의 관리 대상임에는 분명하지만 정부의 역량만으로 모든 영향을 대처하고 피해를 최소화할 수 있는 것은 아니다. 경제의 주체인 개별 기업들이 각 기업의 특성 및 사정에 맞게 자체적으로 리스크와 위기관리를 해야 하며 다음과 같은 세 가지의 대비 요소에 대한 준비 활동이 선제적으로 이뤄져야 할 것이다.
 
제조업에 종사하는 가상의 회사를 상정해 대남 강경책 선언이나 북한 핵실험 강행과 같은 심각한 북한 리스크 징후의 표출부터 군사적 충돌 또는 북한 내부통제 불능상태와 같은 국가위기 상황까지의 상황전개 시나리오 단계별로 어떤 준비를 해야 하는지 자세히 짚어보도록 하자. (그림1)
 
 
1. 상황전개 시나리오 구성
가장 우선적으로 상황 전개 시나리오를 작성해야 하는데 전시와 같은 국가위기 상황의 전개 내용과 연계하는 것이 기업의 상황별 대응방향 및 세부 조치 강구에 효과적이다. 특히 전쟁 상황이 발생한 시점부터가 아니라 제반 징후가 나타나서 점차 악화·확산·정점·소멸돼가는 과정을 포괄하는 것이 바람직하다. (여러 가지 가능한 시나리오2 중 여기에서는 worst-case scenario인 북한 붕괴 및 파국 시나리오에 비중을 둔다.)
 
일반적으로 기업 입장에서 북한 리스크와 관련돼서는 아래 3가지 시나리오 단계 상황을 가정해 볼 수 있다. (아래의 단계 구분보다 세분3 하게 나눌 수 있으며 세분화 수준은 기업 구조, 특성에 따른 의사결정이 필요하다.)
 
 
● [1단계] 리스크(잠재) - 북한정권의 불안정성
: 대체로 직간접적 피해나 파급영향은 별로 없음, 개성 공단 등 일부 투자(진출)기업 불안감 증대
 
● [2단계] 리스크(표출, 징후) - 대남 강경책 선언, 북한 핵실험 강행 등
: 간접적 피해/파급영향이 생겨남, 영향 영역(일부 북한 투자(진출)기업, 남북관계, 국제정세, 금융, 국내투자, 국민 심리, 국가신인도 등)
 
● [3단계] 위기(현실화) - 대남 도발 및 군사적 충돌 (군사·비군사 도발, 사이버 침해) 또는 북한 내부통제 불능상태4
: 직접적 피해/파급영향 발생, 증폭, 영향 영역 (기업 전반, 국가경제, 국가신인도, 외국자본, 국내 투자, 국민심리, 무역 등)5
 
2. 시나리오별 대응방안 및 세부조치
우선 [1단계]와 [2단계] 상황에서는 위기 상황 모니터링 활동이 가장 중요하다. [1단계] 대응에 있어서는 전사차원보다는 우선 관련 사업 부문 중심으로 사전에 준비해둔 위기 센싱(sensing)과 보고와 같은 대응전략을 수행하면 된다. ([2단계]는 부문 대응과 전사 level 대응 여부를 판단할 필요가 있다.)
 
이를 위해서는 모니터링과 센싱의 대상과 지표를 설정하는 것이 중요한데 주요 북한 관련 이벤트와 위기 상황에 대한 파악을 통한 분석결과를 설정된 회사의 주요 내부, 외부 동인(driver)에 반영해 지표의 변화를 예측 또는 파악해야 하고 전체적인 모니터링 결과에 따른 보고체계, 상황발령(경보단계마련)과 대응을 위한 의사결정 기준을 미리 수립해야 한다. (그림2, 그림3)
 
 
 
전쟁 위기상황으로 현실화된 [3단계]에서는 위기 단계로 진입했다는 최고경영진의 의사결정과 이에 따른 상황 선포가 우선돼야 하고 전사적 level의 위기대응과 주요 Value Chain 관련 사업 부문의 위기대응이 동시에 이뤄져 전체적으로 기업의 대응역량을 집중해야 한다. 이렇게 긴밀한 위기대응 활동을 위해서는 대응을 위한 전문 조직이 편성돼야 함은 물론이다. 위기대응 조직은 위기상황 진행 중에도 지속적으로 상황을 파악해 경영진 및 의사결정 주체에 보고해야 한다.
 
실제로 기업이 위기에 대응하는 속도와 노력의 정도(quality)는 위기 발생 후 회복하는 속도와 수준, 심지어는 회복 가능성 여부 자체를 결정한다. 급작스러운 사건에 재빨리 대응하는 것은 기업의 위기관리 역량(enterprise’s crisis management capabilities)에 달려 있다. 강한 모멘텀과 장기적인 영향을 미치는 사건에는 전략적 대응역량이 매우 중요한 역할을 한다.
 
가장 우선적으로는 임직원 안전/대피 계획6 을 마련해야 하고 이와 더불어 본사 기능 이전 및 재배치 운영, 대내외 위기 커뮤니케이션 방안, 회사의 주요 정보와 자산의 보호, 그리고 전시 예산 편성과 집행 및 비상 자금 조달 계획을 수립해야 한다.
 
● 임직원 안전/대피 방안
- 사업장 운영, 유지를 위한 인원을 제외한 임직원 대피명령 발동 및 비상 연락망 점검
- 전시 작전계획에 따른 해당 임직원 전시 동원체제에 편입
- 주요 경영진의 신변보호 및 이동
 
● 본사 기능 이전 및 재배치 운영
- 전시 상황에서는 본사 사업장의 사용이 불가능하므로 본사 기능을 타 지역으로 이전하여 운영; 대체사업장
 
● 대내외 위기 커뮤니케이션 방안
- 위기 상황 진행과정에 대한 효과적 정보 수집 (정부/기관 연락 채널을 마련)
- 주요 사업장 간 효과적이고 지속적 상황전파 및 임직원의 안전과 소재 파악 방안 수립 (주요 이해관계자별 위기 커뮤니케이션 방안 마련)
 
● 회사 주요 정보와 자산 보호
- 중요 정보(vital records)는 사전에 서로 다른 장소에 이중적으로 보관해 백업을 하고 위기 상황에서 반출 우선순위에 두어 담당자 지정 및 관리
- 주요 자산(시설, 장비, 사옥) 등에 대해서는 전시 방호 방안 마련
 
● 전시 예산 편성과 집행 및 비상 자금 조달 계획 수립
- 비상 예산 운영 및 집행에 대한 기준과 지침 마련 (기업 존속을 위한 부분에 대한 최소 운영안과 우선적으로 투자하는 방안이 중심. 신규 투자, 마케팅, R&D 비용 등에 대한 기준도 포함)
- 금융시장 변동성 심화와 경기 악화 상황을 상정한 비상 자금조달 방안 수립 (주요 위기 상황별 자금조달/지출 지침 및 기준 마련, 비상 자금 조달 채널을 확보하고 위기 시 자금수요에 대한 예측과 분석 수행)
  
 
전사적인 위기대응활동과 더불어 사업 부문 level의 위기대응은 대부분 해당 사업의 연속성(Business Continuity) 확보에 목표를 둬야 하며 업무 중단 상황을 가정해 피해/손실을 입은 업무를 복구하고 정상화(Business As Usual) 상태로 끌어올리는 것에 역량을 집중하는 방안을 마련해야 한다. 세부적으로는 주요 전략적 방향을 고려해 복구목표(Recovery Objectives)를 세우고 상세 실행전략을 수립해 실제 복구가 가능하도록 필요 자원에 대한 파악과 준비가 선행돼야 한다.7 (필요 시 SIPOC 분석, Business Impact Analysis(BIA)를 수행) (그림4, 그림5)
 
 
 

 
인간이 생존하기 위해서는 공기, 물, 음식 세 가지의 필수 요인이 있어야 한다. 인간은 공기 없이는 3분, 물 없이는 3일, 음식물 없이는 3주 동안 버틸 수 있다고 한다. 기업의 경우에도 마찬가지로 생존을 위한 기본적인 요인들을 정의해야 한다. 필수적인 요소들 없이 얼마 동안 살아 남을 수 있는지, 즉 회사가 최대로 허용 가능한 수준은 어느 정도 인지, 어느 정도의 비상상황(level of contingency)까지 대비해야 하는지 등을 고민해야 한다.
 
SIPOC, 즉 공급자(Suppliers), 투입자원(Inputs), 프로세스(Processes), 산출물(Output), 고객(Customers) 분석을 통해 기업의 핵심 의존요소를 정의할 수 있으며 이를 통해 보다 정확한 판단에 기초해 북한 리스크 발생으로 영향을 받을 수 있는 회사의 취약한 부분의 구체적 파악과 대응방안 마련이 가능하다. 특히 프로세스의 상위(upstream)나 하위(downstream), 혹은 다른 프로세스와 관련성이 없어 보이는 프로세스에 존재하는 특정한 취약성을 식별하고 잠재적인 영향을 측정할 수 있다. 이는 결과적으로 특정한 프로세스나 산출물이 다른 프로세스나 산출물과 어떻게 관련되는지를 파악하고 한 부문에서의 혼란이나 장애가 시스템을 통해 어떻게 확산되는지 확인할 수 있다.
 
리스크 관리 관점에서 SIPOC분석을 적용할 때 사용하는 주요 체크리스트는 다음과 같다.
 
1.기업의 핵심 의존요소를 나열하라.(Describe the enterprise’s key dependencies.)
a.주요 공급자는 누구이며 무엇을 공급하는가? (Who are the critical suppliers? What do they supply?)
i.자본(Capital)
ii.부품(Components)
iii.인프라(Infrastructure)
iv.상품(Commodities)
v.전문지식(Expertise)
vi.기타(Other)
 
b. 핵심 인력은 누구인가.(Who are the key people?)
c. 핵심 프로세스, 시스템, 설비는 무엇인가.(What are the critical processes, systems, and facilities?)
d. 핵심 생산품, 제품, 서비스는 무엇인가.(What are the key outputs, products, and services?)
e. 각 생산품의 내·외부 핵심 고객은 누구인가.(Who are the key customers - internal and external - for each output?)
 
2. 핵심 의존요소 없이 얼마나 버틸 수 있는가.(How long can the enterprise survive without this critical dependency or dependencies?) 예를 들어,
a. 대출한도, 운전자본, 최근 신용등급 (Lines of credit? Working capital? Current credit rating?)
b. 핵심 부품/원재료 (Key components/commodities?)
c. 핵심 인력 (Key personnel?)
d. 핵심 설비 (Key facilities?)
e. 핵심 시스템 (Key systems?)
f. 핵심 제품 또는 서비스 (Key products or services?)
g.핵심 고객 (Key customers?)
 
그리고, 생존력을 초, 분, 시간, 일, 주, 월 또는 연 단위로 측정할 수 있을까?
 
 
출처: Surviving and Thriving in Uncertainty, Creating the Risk Intelligent Enterprise, Frederick Funston, Stephen Wagner (Deloitte), 2010 / Capabilities Assessment - Resiliency & Recoverability (CARR), BETH3 Total Asset Protection, Deloitte BCM Practices 2010 / Infrastructure and Corporate Resilience, UK Resilience, Cabinet Office, United Kingdom www.cabinetoffice.gov.uk/infrastructure-resilience
 
 
 
3. 비상대응계획의 훈련
평상시의 리스크 관리와 비상시의 위기관리 활동에 대한 준비와 더불어 이러한 일련의 대응체계가 실제 상황에서 실효성 있게 가동되려면 수시로 또는 정례적으로 비상경영계획 훈련을 해야 하며 이를 통해 경영진과 주요 사업부서의 담당자가 숙달돼 있어야 한다. 비상대응계획에 대한 훈련은 형식적인 것이 아니라 최고경영진이 직접 참여한 가운데 주요 이해관계자들을 대상으로 하는 커뮤니케이션 훈련도 포함되는 실질적인 것이어야 한다.
 
도상훈련이든, 실제훈련이든 형태는 크게 중요하지 않으며 최고경영진이 참여하고 실질적인 내용을 바탕으로 가능한 회사의 모든 임직원과 주요 협력업체, 외부기관 등까지 참여해 실시하는 훈련이 되면 가장 바람직하다. 모의훈련은 빈도와 복잡성의 높고 낮음에 따라 다양한 형태의 수행방식이 있으며 제한된 시간과 자원하에서 효과를 극대화할 수 있는 방식을 선택하는 것이 효과적이다.8  (그림6)
 
 
기업의 생존이나 성공과 관련된 사건은 발생가능성에 관계없이 사전에 반드시 대비가 이뤄져 있어야 한다. 미리 예방하지 못하거나 예방하는 것이 불가능한 상황에서 기업이 복원력(resilience)과 민첩성(agility)을 갖추기 위해서는 위협을 조기에 발견하고 신속하게 대응하는 것이 필요하다. 이러한 갑작스러운 위기상황에서 생존하기 위해서는 사전에 준비태세를 갖추고 있어야 하고 반복된 훈련과 인식의 제고를 통해 대응시간을 단축하는 것이 매우 중요하다. 모의훈련과 같은 사전 예행연습은 실제 반응시간을 단축하고 추가적으로 필요한 활동이 무엇이며 기존 계획상의 문제점이 무엇인지 확인할 수 있도록 해준다.
 
더 이상 북한 리스크는 공포의 대상이 돼서는 안 되며 기업의 위기 대응능력은 더 이상 선택의 문제가 아닌 기업의 중요한 자산이며 성공적인 기업의 핵심역량이라는 인식의 전환이 필요하다. 이를 통해 북한 체제 변화에 따른 경영 리스크를 줄일 수 있으며 향후 남북관계 진전 때 대북사업 기회(북한이 개혁 개방에 나설 경우 자원개발과 인프라 건설, 정보화 사업뿐만 아니라 생활용품, 의류 등 소비재 등)를 미리 포착해 대응해 나갈 수 있다.
 
 
글로벌 기업들과 사활을 걸고 비즈니스 활동을 수행하고 있는 우리 기업들은 북한 리스크뿐 아니라 불안정하고 예측 불가능한 환경 속에서 일련의 비즈니스 활동을 든든하게 뒷받침해주는 대응능력에 대한 내부역량과 안전장치를 미리미리 준비하고 마련하는 것이 절실한 시점이다.
 

 
 
세계 최대의 반도체 회사인 인텔(intel)이 2006년 이스라엘에서 경험했던 레바논 전쟁 상황을 예로 들어 보자. 당시 헤즈볼라가 발사한 미사일 4000여 발로 인해 160명이 희생됐다. 인명피해뿐만 아니라 피해상황은 처참했다. 폭격으로 인해 공항, 항만시설은 물론 전력선과 발전소, 도로, 교량, 병원시설, 학교, 공장시설 등이 파괴됐다.
 
당시 전쟁 상황에서 미리 대응 방안을 마련해 둔 인텔은 BCP(Business Continuity Planning, 비즈니스 연속성계획)를 즉각 가동해 미사일이 날라오는 상황에서도 중단 없는 업무 수행이 실제로 가능했다. 이러한 전쟁과 같은 돌발상황을 겪은 후 많은 이스라엘 기업들은 다음과 같은 사항들을 고려해 위기대응 역량을 갖추고 있다.
 
[비상대응을 위한 주요 고려 사항]
● 임직원 대피 (대규모 인원 포함) Evacuation
● 본사 기능 재배치 (전쟁 영향이 적은 지역으로, 또는 인접 국가) Relocation
● 전력공급 마비 (장기간 중단 고려) Electricity
● 우편/유통/물류 중단 준비 Mail/Post Services/Courier
● 통신/미디어 중단 대응 Mobile/Wireless/Radios/TVs
● 금융시장 제한 대비 Monetary & Stock Market
 
[추가적인 고려 사항]
● 연료(fuel)의 마련 (비상전력 가동, 물자 이동 등을 위한)
● 인터넷 가용성
● 비상연락망 및 대체 통신채널 확보
● 보험 (Insurance coverage for Business Interruption)
● 협력업체, 비즈니스파트너와의 협력관계, 계약
● 데이터센터, 재해복구센터 입지 선정 및 시스템 구축 등
 
본사 건물이 무너져내려 흔적도 없이 사라진 회사가 망연자실하지 않고 바로 다음날 영업을 재개할 수 있을까? 초대형 허리케인으로 공장 시설과 장비가 온데간데 없이 날아가 버린 회사가 문을 닫지 않고 조업중단 없이 제품을 생산해 소비자에게 전달할 수 있을까? 현실에서 이런 기적적인 일들이 실제로 벌어진 적이 있다.
 
미국 세계무역센터에 입주해 있던 세계적인 투자은행인 모건스탠리는 9.11 테러로 본사가 완전히 무너져내리는 상상하기조차 힘들었던 시련을 당했다. 하지만 놀랍게도 다음날 영업을 재개할 수 있었다. 수년간 꾸준히 해온 대피훈련 덕분에 건물 붕괴 직전 2700명의 직원이 신속하게 빠져나올 수 있었던 것 외에도 완벽하게 이중화된 재해복구시스템과 대체사업장(alternate site)을 미리 준비해 두었기 때문에 가능한 일이었다. GM 역시 허리케인과 같은 강풍으로 주요 시설과 장비가 파괴됐지만 미국 전역에 있는 표준화된 공장설비와 운영으로 탄력성과 잉여 자원의 확보를 통해 중단 없는 제품생산이 가능했다.
 
이렇게 기업의 생존력을 높였던 배경에는 모두 예외 없이 BCP가 있었다. 일찍부터 글로벌 선진 기업들은 BCP를 통해 갑작스런 조업의 전면 중단과 같은 상황에서도 그 피해와 충격을 최소화하고 핵심이 되는 업무의 복구와 재개를 통해 연속성을 확보하고 정해진 목표시간 내에 전반적인 비즈니스를 정상수준(Business As Usual)으로 끌어올리는 능력 확보에 노력해왔다. BCP는 최악의 상황(worst-case)을 가정해 비상시 사업장과 생산설비 운영, 원자재 조달에 대한 대체방안과 임직원을 포함한 주요 이해관계자와의 커뮤니케이션을 포함한 실질적인 대비책 마련에 집중돼 있어 실제 상황에서 큰 위력을 발휘한다.
 
출처: “Adding War to Business Continuity Management Planning - Lessons Learned from the War in Lebanon 2006”, Rudy Chouchany, White papers on BCM and BS 25999, British Standards Institution, www.talkingbusinesscontinuity.com
War in Israel and Lebanon, Intel Webpage
http://www.intel.com/content/dam/doc/policy/policy-business-continuity-practices.pdf
 
 
 
 
유종기 딜로이트 기업리스크자문본부 이사 jongkiyoo@deloitte.com
유종기 이사는 고려대 국제대학원을 졸업하고 전국경제인연합회 경쟁력강화팀 산업전략담당 조사역, IBM Business Resilience & Continuity Services 컨설턴트를 지냈다. 현재 딜로이트 안진회계법인 기업리스크자문본부 소속으로 ISO 22399 Societal Security 전문위원, 영국 Business Continuity Institute의 한국 대표로 활동하고 있다. 저서로 <BCM, 비즈니스연속성 관리 - A Practical Guide, FKI미디어>가 있다.
 
동아비즈니스리뷰 329호 Fly to the Metaverse 2021년 09월 Issue 2 목차보기