Article at a Glance-전략

사건 1

올해로 설립된 지 52년이 되는 타깃(Target)은 저렴한 가격에 상품을 유통하는 미국의 3대 대형 마트다. 하지만 작년 12월 최대 1억1000만 명에 달하는 고객의 신용정보가 해커들에 의해 유출되는 사건이 벌어졌다. 이는 미국 전체 인구의 3분의 1에 해당하는 엄청난 숫자이며 이번 사건으로 인해 타깃의 신뢰도는 역사상 최저로 떨어졌다.

사건 2

신용정보회사 코리아크레딧뷰로(KCB)의 박모 차장은 KB국민카드, 롯데카드, NH농협카드 3사에 파견돼 카드사의 시스템 구축 업무를 맡으면서 각 회사의 전산망에 접근, KB카드 5300만 명, 롯데카드2600만 명, NH카드 2500만 명 등 무려 총 1억400만 건이나 되는 개인정보를 이동식저장장치(USB)를 통해 유출했다.

비슷한 시기에 엄청난 규모의 개인정보 유출이라는 유사한 사건이 한국과 미국에서 벌어졌다. 엄청난 소비자들을 혼란에 빠뜨린 위기 속에서 리더들이 대처하는 모습은 확연히 달랐다. 한쪽은 위기 상황 속에서도 리더십을 확실히 보여주는 커뮤니케이션을 했고, 또 다른 한쪽은 그렇지 못했다. 이 글에서는 한국과 미국에서 거의 동시에 벌어진 사상 최악의 위기 속에서 리더들이 어떻게 커뮤니케이션을 했고, 이것이 소비자들의 신뢰에 어떤 영향을 주는지에 대해 분석하고자 한다. 타깃의 대응을 분석하는 데는 <월스트리트저널>의 “미국을 충격에 빠뜨린 ‘타깃’ 신용정보 유출 사건 뒷얘기(2014. 2. 20)”와 타깃의 CEO인 그렉 스타인하펠 대표가 2014년 1월13일 미국 CNBC와 30여 분 동안 가진 인터뷰를 참고했다.

1. 빠르게 조치하고, 자주 소통하라

타깃의 대응:타깃의 고객 정보가 해커들에 의해 유출된 것을 CEO 스타인하펠이 알게 된 것은 일요일인 2013년 12월15일이었다. 그는 위기를 감지하자마자 바로 고객 정보 시스템 환경이 안전한지, 소비자들이 안전하게 쇼핑이 가능한지를 확인하도록 지시하고 오후 6시경에 안전조치가 이뤄졌다는 보고를 받았다. 사건 발생 이틀째인 16일에는 사건 조사에 본격적으로 착수했고, 17일에는 전국의 매장 직원들이 고객들에게 어떻게 대처해야 하는지 등의 준비를 거쳐 18일부터 고객들에게 통지하기 시작했다. 타깃은 이후 12월19일부터 올해 2월4일 사이에 총 11차례에 걸쳐 고객에게 지속적으로 상황을 업데이트하고 안내하는 커뮤니케이션을 실시했다.

한국 카드 3사의 대응: 2011년 개정된 개인정보보호법에 따르면 개인정보 유출 상황에서 해당 금융기관은 바로 피해 사실과 대응 조치를 개인 고객에게 알려주도록 돼 있다. 상식적으로도 소비자의 입장에서 생각해보면 나의 개인정보가 유출됐다는 사실과 대응책을 빨리 알려주는 회사와 뒤늦게 알려주는 회사에 대한 감정이 어떨지는 뻔하다. 하지만 이번에 지체 없이 고객에게 통보한 회사는 단 한 곳도 없었다. 3개 카드사는 검찰의 사고 발표 후 20일이 지날 때까지 정보 유출 통지서를 발송하지 않았다. 카드사들은 고객들에게 바로 통지하지 않은 이유에 대해 “e메일, 우편을 한꺼번에 발송하면 고객들의 재발급, 해지 신청이 몰려들어 업무 처리에 혼란이 생길 수도 있다” 혹은 “대금 청구서와 함께 보내려고 그랬다” 같은 지극히 자기 편의 중심적인 발언을 해 소비자와 여론의 분노를 자극했다.

교훈:타깃의 CEO는 위기 대응 및 소통과 관련해 고객의 입장을 고려한 조치를 취했다. 또한 투명하게, 진실되게, 가능한 빨리 소통한다는 명확한 원칙을 갖고 있었다. 그는 실제 그렇게 조치하고 소통했다. 하지만 국내 카드 3사는 말로는 책임 통감이니 무거운 책임감을 언급했는지 몰라도 실제로는 혼돈에 빠진 고객의 입장을 배려하는 조치나 소통은 미흡했다.

2. 여론을 대응하면서 ‘법적 사고’로 판단하거나 소통하지 말라

타깃의 대응:타깃의 고객 정보 유출 규모는 사건 초기인 2013년 12월 중순경만 해도 약 4000만 명 수준의 신용카드와 직불카드 번호였다. 하지만 올해 1월9일 미국의 사이버 범죄 수사 담당 비밀 검찰국은 카드 번호 외에 무려 7000만 건의 이름, 주소, e메일 주소 등의 추가 유출이 있다고 알렸다. <월스트리트저널>에 따르면 타깃의 일부 임원들은 카드 번호가 아닌 다른 데이터 도난 사실까지 타깃이 공개할 법적 책임이 없으며 7000만 명이라는 엄청난 숫자에 거부감을 보였다. 하지만 스타인하펠은 1월10일 이 사실을 공개했고 3일 후 신문 전면광고를 통해 사과했다. 이 밖에도 스타인하펠은 사건을 인지한 지 나흘째 되던 날 직원들이 만들어 온 보도자료가 기업의 입장만을 보호한다며 마치 변호사가 쓴 것 같다고 불만을 제기했다. 결국 직원들은 보도자료를 다시 써야 했다.

한국 카드 3사의 대응: NH농협카드의 이신형 사장 대행은 국회의원들에게 “솔직히 말씀드리면 저희들이 피해자입니다. 엄격히 이야기하면”이라고 발언하는 실수를 저지른다. 이에 대해 국회의원으로부터 “지금 말장난하는 거예요”라는 비난과 “아직도 정신을 못 차린” “적반하장” 등 여론으로부터의 공격을 받았다. 이신형 사장 대행이 “엄격히 이야기하면”이라는 것은 “법적으로 엄밀히 따져보면”이란 뜻으로 해석할 수 있다. KCB라는 제3자가 유출한 것이므로 법적으로 자신들도 피해자라는 주장일 것이다. 물론 법정에서 변호사가 그런 주장을 할 수 있을지는 모른다. 하지만 개인정보가 유출된 상황에서 여론에 대고 최대 피해자인 소비자들을 위로해야 할 위치에 있는 회사 대표가 자신들이 피해자라고 하는 것은 얼마나 위기 대응 커뮤니케이션에 기초적인 준비도 돼 있지 않은지를 여실히 보여준다.

교훈:위기 상황에서 리더와 조직은 변호사와 함께 법적 책임에 대한 검토에 들어가게 된다. 당연히 필요한 조치다. 하지만 위기 관리에서 기업의 리더들이 지속적으로 실수를 하고 신뢰를 잃는 것은 법적 사고를 통해 여론을 상대하기 때문이다. 법정에서 피고는 계속 무죄를 주장하면서 자신을 보호하기 위한 논리를 펼 수 있다. 하지만 여론에서는 기업이 자기 자신을 보호하기보다 기업과 피해를 당한 소비자 사이의 ‘관계’를 회복하는 발언을 해야 한다. 법적 사고는 법정에서 필요한 것이며 여론을 대응할 때에는 여론의 입장을 고려한 사고와 소통을 해야 한다. 여수 기름 유출 사고 관련 당정협의에서 보상 관련 질문을 받은 윤진숙 전 해양수산부 장관이 “실제로 1차 피해자는 GS칼텍스이고 2차 피해자가 어민”이라고 했다가 결국 논란이 커져 사퇴하게 된 것도 여론적 사고를 제대로 하지 못했기 때문이다. GS칼텍스가 법적으로 피해자일 수는 있겠지만 이런 경우 장관은 “최대 피해자인 어민의 보상 문제를 빨리 타결하기 위해 정부는 기업을 포함해 최대한의 노력을 기울일 것이고 GS 칼텍스의 책임 문제는 법정에서 밝혀질 것” 정도로 발언했더라면 어땠을까?

3. 위기관리 과정에서 또 다른 위기를 만들지 말라

타깃의 대응:스타인하펠은 타깃의 모든 고객들에게 1년짜리 개인정보 도난 보험을 제공하는 방안을 생각했다. 문제는 타깃 고객 중에는 회사가 고객 정보를 갖고 있는 경우도 있고 아닌 경우도 있는데 두 부류의 고객 모두에게 도난보험을 무료로 제공한다는 것은 실질적으로 모든 미국인에게 무료로 제공한다는 것이며 엄청난 비용이 든다. 하지만 스타인하펠은 기업 내부의 이런 우려에도 불구하고 이 방안을 실천했다.

한국 카드 3사의 대응:이번에 고객 정보 유출 사고를 낸 KCB는 정보유출 피해자가 신청하면 1년간 무료로 신용정보 보호서비스를 제공하겠다고 했다. 이는 카드사로부터 정보유출을 통보받은 고객에게만 제공된다. 언론 보도에 따르면 KCB가 유출사건 이후에도 이를 유료로 판매해 비난이 일자 금감원이 판촉 자제와 무료 제공을 요구해 무료 서비스가 이뤄졌다. 자발적인 조치는 아니었던 셈이다. 또한 유출사고를 낸 회사가 신용정보 보호 서비스를 제공한다는 것 자체가 문제의 소지를 갖고 있다.

교훈:스타인하펠은 위기가 발생하고 난 뒤 단 한 가지에만 집중했다. “고객을 위해 옳은 일을 한다(Do the right thing for our guest).” 실제 그는 사건 후 아무리 비용이 많이 드는 일이더라도 불안해 하는 고객을 위해 옳은 일이라면 임원진의 반대를 무릅쓰고 밀어붙였고 타깃의 이사회는 스타인하펠에 대해 “완전한 신뢰”로 응답했다. 스타인하펠은 “타깃은 해킹 사건으로 기억되는 것이 아니라 해킹에 어떻게 대처했느냐로 기억될 것”이라고 말했다. 이 부분은 매우 중요한 교훈을 알려준다. 위기관리란 ‘무엇이 발생했는가(what happened)’보다는 ‘발생한 사건에 대해 무엇을 하는가(what you do with what happened)’에 대한 것이다. 즉, 위기관리자는 발생한 위기 그 자체(예: 신용카드 개인정보 유출)만을 위기로 바라보지 말고 위기관리(예: 신용카드 개인정보 유출 사태에 대해 카드사는 위기 사태를 관리하기 위해 무엇을 하는가) 과정에서도 ‘대응의 위기’가 발생할 수 있다는 점을 이해해야 한다.

흔히 위기(危機)에는 위험(危)과 기회(機)가 있다는 말을 하는 것은 이 부분과 직접적으로 연결된다. 즉 위기사건 발생을 인식한 시점에서 위기사건은 더 이상 어떻게 되돌릴 수 없는 상황으로서 위험이지만 사건에 대한 위기관리는 어떻게 하느냐에 따라 위험이 될 수도 있고 기회가 될 수도 있다.

위기가 처음 시작될 때 위기관리라는 프로세스에서 오는 위험을 인식하지 못하면 대응의 전략 수립, 속도, 경로, 방법 등에서 첫 단추를 잘못 끼우는 것과 같다. 그렇다면 어떻게 해야 할까? 위기 사건이 발생하면 CEO를 중심으로 위기관리팀을 구성, 향후 위기 대응 단계에서 발생할 수 있는 위험과 기회 요소를 찾아내야 한다. 기회 요소를 찾기 위해서 위기관리팀에서는 “이미 벌어진 부정적인 위기 사건에 대해 어떤 조치를 취하고, 어떤 메시지를 전달하는 것이 책임감 있는 행동인가”라는 질문을 놓고 전략 방향을 찾아나가야 한다. 스타인하펠처럼 “우리는 이 위기에 어떻게 대처했는가로 기억되고 싶은가”라는 질문을 던져봐야 하는 것이다.

4. 진심으로 사과하라, 가치로 설명하라, 회사의 이름을 걸고 사과하라

타깃의 대응:타깃의 사과문을 보면 회사를 광고할 때와 마찬가지로 회사의 로고를 맨 상단에 배치했다. 또한 사과문 맨 마지막에는 CEO의 친필 서명과 함께 자신의 이름과 직책을 기술했다. 타깃은 위기상황임에도 기업의 가치와 지향을 적극적으로 설명하고 앞으로의 기대와 의지도 천명했다. 그러면서 사과를 했다. 또 고객의 이름과 전화번호 등 어떤 정보가 유출됐는지 분명하게 설명하고 조치의 내용도 구체적으로 기술했다. 문안은 상투적이지 않고 그렇다고 감정적이지도 않다. 사과 조치와 연동해서 타깃 CEO는 올해 1월13일 월요일 아침 CNBC 경제뉴스에 독점 인터뷰를 해서 경위 설명 및 사과 인터뷰를 했다. 한마디로 타깃은 사과문을 통해 사과를 위한 모든 요소를 정확하게 서술하고 가치를 포기하지 않으면서 고객들의 이해를 구했다.

한국 카드 3사의 대응:타깃은 회사를 대표해 CEO의 이름을 걸고 정식으로 사과했다. 반면 국내에서는 로고를 빼고 하얀 백지에 검은 글자로 구성된 밍밍한 지면의 사과문을 올린 기업도 있다. 이는 회사의 비상 책임자가 자신의 이름을 내걸지 않고 ‘임직원 일동’ 뒤에 숨은 것으로 볼 수 있다. 사과문 내용은 법무사가 작성한 글처럼 딱딱하고 상투적으로 구성된 경우도 있었으며 기업 고유의 브랜드와 문화를 상징하는 언어를 찾아보기 힘들었다. 사건 내용의 핵심은 검찰의 발표와 KCB의 책임으로 규정되기도 했다. 선제적이지 않고 후속적이라는 느낌을 주는 사과문으로 볼 수 있다.

위기관리자는 발생한 위기 그 자체만을 위기로 바라보지 말고 위기관리 과정에서도 ‘대응의 위기’가 발생할 수 있다는 점을 이해해야 한다.

교훈:위기 상황에서 기업들이 발표하는 사과문이나 사과 기자회견을 관찰해 보면 그 기업이 위기 사건에 ‘어떤 태도’를 갖고 대처하고 있는지가 명백히 드러난다. 단지 “사과를 했다”는 말을 듣기 위해서 사과를 하는지, 진심으로 피해자인 소비자들에게 미안함을 느끼며 리더가 앞장 서서 책임을 지고 구체적인 조치와 자신들이 이 사건에 임하는 철학과 태도가 무엇인지를 애써서 설명하는지. 위기 사건 때마다 신문 1면에 등장하는 우리 기업의 사과문은 거의 비슷한 유형을 보여준다. 피해자인 소비자들이 눈여겨볼 내용도 없고, 성난 소비자들을 위로하거나 그들의 분노를 가라앉히는 효과도 없다. 사과는 ‘사과문’이라는 형식적 요소로 끝나는 문제가 아니다. 피해자와 고객, 여론을 향한 기업의 태도를 명확하게 보여주는 하나의 전략적 요소로 인식해야 한다.

결론

한국과 미국의 고객 정보 유출과 관련된 사건을 중심으로 알아본 위기관리 커뮤니케이션의 원칙들을 한번 살펴보자. “빠르게 조치하고 자주 소통하라” “여론을 대응하면서 ‘법적 사고’로 판단하거나 소통하지 말라” “위기관리 과정에서 또 다른 위기를 만들지 말라” “진심으로 사과하라, 가치로 설명하라, 회사의 이름을 걸고 사과하라.” 이를 모르는 사람들이 있을까? 이들 원칙은 사실 매우 상식적인 이야기다. 카드 3사의 대표나 임원들이 이런 원칙을 모를까? 위기 상황에서 어떻게 소통해야 소비자들의 신뢰를 획득할 수 있는지 조금만 생각해보면 기본적으로 알 수 있는 부분이다. 그렇다면 타깃의 CEO와 한국의 카드 3사 대표의 차이는 과연 어디에 있는 것일까?

리더십의 대가인 마셜 골드스미스는 이렇게 이야기했다. 대부분의 리더들이 갖는 중요한 도전은 리더십 실행에 대해 그들이 이해 못하는 것이 아니라 자신들이 이해하고 있는 리더십을 실천하지 않는 것이라고. 위기상황에서 신뢰를 얻을 수 있는 조치와 커뮤니케이션도 마찬가지다. 위기관리 커뮤니케이션의 원칙을 이해하지 못하는 기업의 CEO는 아마 없을 것이다. 현실 속에서 가장 중요한 차이는 이러한 원칙을 (단기적으로는) 자신에게 피해가 될지도 모르는 상황 속에서도 과감하게 실천할 수 있는가 아닌가의 차이다.

김호 더랩에이치 대표 hoh.kim@thelabh.com

김호 대표는 위기관리 전문 컨설턴트다. 한국외대에서 불어와 철학을 전공하고 미국 마켓대에서 석사 학위(PR)를 받았다. 현재 KAIST 문화기술대학원에서 기업의 사과문을 주제로 박사 논문을 쓰고 있다. 전 세계에서 17명만이 가지고 있는 로버트 치알디니의 ‘설득의 심리학’ 공인 트레이너(CMCT)다. 글로벌 PR컨설팅사 에델만의 한국법인 대표를 지냈으며 저서로 <쿨하게 사과하라(정재승 공저, 2011)>가 있다.

유민영 에이케이스 대표 navy@acase.co.kr

유민영 대표는 위기관리 전문 회사 에이케이스(www.acase.co.kr)에서 대표 컨설턴트로 일하고 있다. 성균관대에서 신문방송학을 전공했다. 정부, 정치, 기업, 시민사회, 언론 등에서 얻은 다각적인 경험을 기반으로 위기전략을 실행하고 있다. 청와대 보도지원비서관(춘추관장)과 피크15 커뮤니케이션 대표를 역임했다.