[강은성의 CISO 스토리]위기관리의 실제(1)


회사를 그만두고 CISO/CPO 시절의 경험을 바탕으로 한 칼럼을 준비하면서 평소 알고 지내던 CISO/CPO들에게 칼럼에 담았으면 하는 주제를 물으니 여러분이 '위기관리'를 말한다. 위기관리에 관한 문제는 한국CPO포럼에서 3번 정도 다뤘고, 작년 해킹방지워크숍에서도 발표되었으니 많은 분들이 관심 있어 하는 주제임에 틀림없는 것 같다.

나 역시 얼마 전 모 그룹에서 위기관리에 대한 특강 요청이 있어서 다녀 왔는데, 5-5-7 규정 때문에 보안투자가 적지 않았을 카드사에서도 이렇게 큰 위기가 발생했으니 각 기업에서의 관심은 더 커질 것 같다.

(5-5-7 규정은 은행 전체 인력의 5% 이상을 IT부문 인력으로, IT부문 인력의 5% 이상을 정보보호 인력으로 하고, IT부문 예산의 7% 이상을 정보보호 예산으로 하라는 ‘전자금융감독규정’ 제8조의 규정이다. 이에 따라 금융권의 보안투자는 상당한 수준에 이르렀다는 것이 일반적인 평가다)

그 동안 위기관리에 대한 주된 관심은 큰 위기가 터졌을 때의 대응 방법에 머물러 있다. 당연한 일이다. 하지만 아직 큰 위기를 당해 보지 않은 회사에서는 좀더 다른 관점에서 볼 필요가 있다. 평소 품질, 안전, 보안 등 위기 관련 업무를 철저히 수행함으로써 위기가 발생하지 않도록 노력해야겠지만, 그럼에도 불구하고 위기가 발생할 때를 대비하여 사전 준비에도 관심을 가져야 한다는 말이다.

위기에는 '큰 위기'와 '작은 위기'가 있다. 큰 위기는 누가 봐도 알 수 있다. 큰 위기가 발생하면 최고경영자(CEO)가 급박하게 임원회의를 소집하고, 언론에서 크게 다루고, 수사기관이나 규제기관에서 심각한 내용으로 연락해 온다. 회사의 사업에도 큰 영향을 미칠 수 있다.

개인정보 대량 유출사고가 아니더라도 공장에서의 폭발사고, 항공사의 비행기 추락사고, 철도의 인명사고, 유통업체의 대리점 관련 사고 등 종류는 다를 수 있지만 큰 위기는 어느 회사에나 닥칠 수 있다. 우리가 흔히 위기라고 하는 것은 큰 위기를 말한다. 하지만 평상시에 회사에는 적지 않은 작은 위기가 발생한다. 작은 위기들은 잘못 대응하면 큰 위기로 비화되기도 한다. 또한 작은 위기에 잘 대응하면 큰 위기가 발생했을 때에도 당황하지 않고 대처할 수 있는 힘이 생긴다.

사전 위기 대응에서 가장 먼저 해야 할 일은 우리 회사에 발생할 수 있는 위기를 정의하는 일이다.

회사나 업종마다 다를 수 있지만, 소소한 보안 침해사고나 내부정보 유출사고, 고객센터로 접수된 수십 건의 강력한 고객 클레임, SNS에서 확산되는 회사에 대한 비난, 언론에 나온 부정적인 기사, 오래 지속되는 서비스 장애 등이 될 수 있다. 가능한 위기를 정의하면 그것을 대응할 조직을 구성할 수 있다.

위기관리 관련 부서가 여럿이므로 태스트포스(TF) 형식으로 구성하고 코디네이터를 둬서 발생시 소집하여 협의하도록 하는 것이 바람직하다. 한 가지 유의할 점은 위기관리 TF의 장에 힘이 있는 임원급을 임명하고, 필요시 CEO에게 보고하는 등 CEO가 힘을 실어 줘야 위기관리 체계가 제대로 작동한다는 것이다.

그 다음에 할 일은 위기의 등급과 그에 따른 처리 프로세스를 정의하는 일이다. 여기서 가장 중요한 일은 CEO에게 보고할 위기를 정의하는 일이다. 그룹사인 경우에는 그룹에 보고해야 할 수도 있다. 작은 위기가 큰 위기로 번지는 것을 막기 위해서 신속한 위기관리가 중요하다면 위기 인지 후 보고 시한을 정의해 놓는 것도 방법이다. 작은 위기는 자주 발생하기 때문에 이렇게 위기 정의와 대응조직, 프로세스를 정해 놓으면 저절로 연습이 된다.

사전에 발생 가능성을 예측할 수 있는 위기도 있다. 예를 들어 특허재판과 같이 회사에 영향이 큰 재판이 진행되고 있는데, 선고기일이 잡혔다면 선고 결과에 따라 큰 위기가 발생할 수 있다. 날짜는 정해져 있으므로 각 경우 별로 시나리오를 짜서 대비하는 것이 필요하다. 제품을 출시하는데 고객의 반응에 따라 위기가 발생할 수 있다고 판단하면 위기관리TF에서 사전에 점검할 수도 있다. 사전에 예상할 수 있는 위기는 대응 준비를 철저히 한다면 큰 위기도 적절하게 헤쳐 나갈 수 있다.

위기관리를 잘 하기 위해서는 고위 간부들이 위기관리에 대한 이해와 공감이 매우 중요하다. 아무리 실무자들이 중요하다고 해도 임원들이 자신의 일로 생각하지 않으면 그 일이 제대로 수행될 수 없는 것은 자명하다. 고위 간부들이 위기관리에 관심을 갖게 하는 데에는 '위기관리 임원회의'를 여는 것도 한 방법이다. 예를 들어 개인정보 대량 유출사고가 회사의 큰 위기라고 한다면 해당 위기가 발생했을 때를 가정하고 위기관리 임원회의를 소집하는 것이다.

신고할 곳, 신고 내용, 전사위기대응TF의 구성과 운영방안, 각 임원들의 역할, 관련 부서의 업무, 이해 관계자의 파악과 대응 방안 등을 협의하면 위기를 실감나게 이해하고, 경각심을 일깨워서 위기관리 준비가 잘 진행될 수 있다. 한 발 더 나아가 위기관리 워크숍을 열어서 위의 사항을 좀더 심도 있고 집중적으로 논의하고 모의훈련을 해 보면 더욱 효과적이다.

연습을 실전처럼 하라는 말이 있다. 특히 위기관리에 유용한 말이다. 위기관리에서 연습을 실전처럼 하면 실전이 발생할 때 효과적으로 대처할 수 있을 뿐만 아니라 실전이 발생할 가능성도 낮아질 수 있기 때문이다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.








포토뉴스