헤더 바로가기 메뉴 바로가기 푸터 바로가기
위기관리 & 전략

어떤 위기도 견딜 수 있는 조직 설계법

디지털
2022. 6. 23.
Mar22_27_200398480-001

위기와 재해 관리에 대한 비즈니스 문헌에는 리더십, 커뮤니케이션, 계획 수립과 같은 주제가 주요 관심사로 다루어진다. 보안 담당자와 기업의 위기 대응 책임자는 물리적, 사이버 위험을 줄이는 데 필요한 기술과 장비에 특히 관심을 두는 경향이 있다. 그러나 위기 상황에서 리더십과 전술적 계획 사이에는 근본적인 차이가 존재한다. 즉, 리더와 현장 책임자 사이에는 위험한 틈이 존재한다는 말이다.

위기에 대비할 때 기업은 한걸음 뒤로 물러서 있는 경우가 많다. ‘우리 조직은 어떻게 설계되어 있는가?’라는 간단한 질문조차 던지지 못한다. 저자는 오랫동안 많은 기업에 재해와 위기관리에 대해 훈련과 조언을 해왔다. 좋은 조직은 적절한 대비 역량을 갖추지만, 나쁜 조직은 항상 준비가 제대로 되지 않는다.

코로나19 감염병 대유행이 3년째에 접어든 지금, 우리는 어느 정도 다들 위기관리자가 되었다. 생명과 비즈니스 연속성, 재산 및 평판에 대한 위협은 마스크를 완전히 벗게 돼도 끝나지 않을 것이다. 리더는 '대비의 아키텍처(architecture of preparedness)'라는 재고 조사를 해야 한다. 처음에는 훈련, 프로토콜, 리더십 및 커뮤니케이션에 집중하기보다는 회사 내부 보고 체계와 거버넌스(의사 결정) 구조에 더 집중해야 한다는 뜻이다.

'악마는 절대 잠들지 않는다: 재난의 시대에서 조직의 생존 전략(The Devil Never Sleeps: Learning to Live in an Age of Disasters (Public Affairs, 2022년 3월)'라는 책 집필을 위해 많은 재난과 위기를 연구해왔다. 그러면서 위기가 오기 전에 대처해야 할 몇 가지 현상을 발견했다. 위기에 더욱 효과적으로 대응하기 위해 비즈니스 리더는 다음 세 가지 분야에 집중해야 한다.

1. 위치 설정(Position)

하버드 케네디스쿨의 위기관리 과정 담당 교수로서 항상 첫 수업 주제는 ‘디자인(설계)’이다. 조직의 ‘뼈대(기초 구조)’가 무엇보다 중요하기 때문이다.

필자는 매년 매우 간단한 질문을 던진다. “미국 정부 조직에서 산림청은 어디에 소속되어 있나?” 그러면 학생들은 대부분 멍한 시선으로 답한다. 일부 수강생은 곧바로 "국무부(Department of Interior)"라고 외칠 것이다. 틀렸다고 하면 바로 다른 사람은 환경청(EPA)이라고 답한다. 하지만 정답은 농무부(Department of Agriculture)이다. 그것이 무엇을 의미하는지, 미국 정부가 한때 숲을 어떻게 바라보았는지(그리고 지금도 여전히)를 알 수 있다. 소, 옥수수, 콩과 매우 흡사한 농산물로 산림을 구분했다. 설계상 나무와 숲은 환경이나 역사적 토지 보호를 우선 사항으로 두지 않는 정부 기관이 관리의 주체인 셈이다. 이러한 배치는 산림청의 우선순위가 무엇인지를 알려주기 때문에 중요하다.

기업이 보안 담당자를 상시적인 리더십(경영진) 역할로 배치하는 경우는 매우 드물다. 상장회사 이사회에서 보안이나 사이버 보안 부문 책임자를 참여시키는 경우는 거의 없다. 이들 전문가에게 그들의 기술이나 전문 지식이 회사 리더십에 필수적인 것은 아니라고 말하고 있다.

경영진은 한정된 자원을 배분하기 때문에 예산과 자원 배치 우선순위를 정하는 데 영향을 미칠 수 있다. 반드시 이사회 구성원이 돼야 할 필요는 없다고 말하지만 경영진이 문제를 중요하게 보지 않으면 직원들도 문제를 중요하게 보지 않는다. 보안은 기업의 미래와 수익에 필수적인 요소임을 보여주는 거버넌스 설계를 강화해야 한다.

종종 이러한 설계적인 결함을 보완하거나, 외부 이해관계자들에게 책임이 있는 것처럼 보이기 위해 많은 회사, 특히 최신 기술 회사에서 "신뢰" 또는 "신뢰 자문(trust advisory)" 위원회라는 것을 만들고 있다. "신뢰"가 "보안"보다 덜 위협적으로 보이기 때문인지는 모르겠다. 이 위원회는 온갖 종류의 전문가와 전직 공무원으로 가득 차 있는 경향이 있지만(나도 몇몇 회사 위원회에서 일했다!), 외부에 보이는 조직의 이름과 표현은 완곡하게 한다. 한마디로 이 조직은 단순히 조언을 하고 권고 사항을 제공할 뿐, 정작 회사의 중요한 것에 대해서는 조치를 요구할 수 없다는 것을 은근히 드러내는 것이다. 종종 보여주기식으로 존재하는 정도다. 보안 아키텍처는 조직에 중요한 사안이다. 회사 이사회나 내부 경영진이 이에 대한 대비 계획을 세우고 추진할 수 없다면 회사가 제대로 관리되지 않을 것이다.

2. 접근 (Access)

필자는 최고경영진에게 조직의 다양한 팀과 얼마나 자주 만나는지 물어본다. 조직 내 보안 책임자들이 어디에 있든 간에 말이다. 그럴 때 리더들은 하루에도 몇 번씩 COO를 만나고, CFO를 일주일에 몇 번씩 만나고, 필요하다면 사내 변호사를 만난다는 말로 답한다. 최고 보안 책임자(chief security officer)를 만난다는 대답은 드물다. CEO가 회사의 모든 재정적 또는 법적 책임을 다른 사람에게 위임하는 것이 용납될 수 없다면, 위기 대비와 대응에서도 마찬가지여야 한다. 준비된 CEO란 항상 회사에 가치 있는 정보를 제때 요구할 수 있는 사람이다.

보안 분야에서 사업 계획 및 우선순위에 대한 발언권을 갖는 역량을 ‘가용성(availability)’이라고 부른다. 보안팀이 가장 중요한 시점에 접근할 수 있는가? 많은 비즈니스 리더는 그렇다고 말할 것이다. 무언가가 잘못되면 누구에게 전화해야 할지는 알고 있다고 생각하기 때문이다. 하지만 이는 회사 경영진이 보안을 조력자(enabler)로 보지 않고, 회사의 연결 조직이 아닌 어쩔 수 없이 필요한 골칫거리나 부가적 조직(add-on)으로 본다는 것을 시사한다. 안전, 보안 인력의 보고 체계가 분산되어 있으면 보안 인력의 영향력과 역량을 감소시킨다.

보안 책임자들이 리더십에 접근할 기회를 제한하는 것은 근시안적 사고방식이다. 예를 들어, 미 오클랜드시가 하워드 터미널 부지에 지역 연고 프로야구팀 오클랜드 애슬레틱스를 위한 새로운 야구 경기장을 짓기 위해 오래 노력했던 일을 생각해 보자. 이 프로젝트는 오클랜드 애슬레틱스 인베스트먼트 그룹이 2018년 하워드 터미널 부지를 선택한 이후 많은 장애물에 부딪혀왔다. 부지를 선정하기 전에 검토했어야 했던 수많은 안전 취약점이 뒤늦게 발견된 것이 그중 하나였다.

해당 부지는 여가 활동과 투자자 관점에서는 매우 완벽했다. 그러나 이곳은 한쪽은 바다에 직접 접해 있고 출구 도로(일부는 철도와 화물로 막혀 있음)가 많지 않은 구조다. 필자도 참여했던 자문위원회는 검토 결과 재난(지진, 화재, 총격 사고 등) 상황에서 사람들을 안전하게 대피시킬 방법이 없다는 점을 발견했다. 또한 안전과 보안 관점에서 오클랜드의 주요 항만 물류에 큰 위협이 되기 때문에 유니언 퍼시픽 철도는 반대 의견을 제기했다.

오클랜드 애슬레틱스 인베스트먼트 그룹의 안전 조직은 도대체 어디에 있었나? 그들은 인근 철도 시설과 화물 회사는 물론, 해당 부지의 위험과 문제를 이해하는 지역 주민들을 끌어들이려는 시도를 거의 하지 않았다.

모든 것에 적합한 단 하나의 아키텍처는 없다. 가장 이상적인 것은 안전 또는 보안 책임자가 CEO 또는 비즈니스 리더들에게 직접 보고하는 것이다. 보안 담당자는 회사의 위기 정책의 모든 측면을 감독하고, 최고경영층의 지원을 받아 예산과 인력 배치의 우선순위에 있어야 한다. 보안 업무를 회사 조직도에서 숨기거나 외부 전문가에게 위임하기에는 보안 문제는 조직에 있어서 너무 중요하다. 만약 기업의 규모나 구조를 고려할 때 보안 책임자를 최고 경영진의 상시 구성원으로 놓기 어렵다면, 보안을 예산 및 우선 비즈니스 의사결정에 항상 반영하도록 해야 한다.

또한 보안 담당자가 회사 차원의 훈련이나 보안 교육에 참석하도록 요청할 때 비즈니스 리더들이 기꺼이 참여하도록 하는 것도 중요하다. 기업이 마주하는 위험은 종종 변화한다. 정례 브리핑 참여는 충분한 가치가 있다. 이를 통해 비즈니스 리더들이 그들의 핵심 임무와 보안, 안전 이슈를 함께 논의하는 일을 편안하고 친숙하게 만들 수 있다. 비록 사이버 공격 대응 장비를 구입하거나 건물 주변에 보안 게이트를 세우는 일이 아니라도 말이다.

필자는 한때 대통령을 위해 국토안보부(homeland security) 책임자로 일했다. 법령상 대통령의 직속 보고 라인은 아니었지만 대통령에게 다음과 같이 간단히 말씀드렸다. “제가 대통령님을 뵐 필요가 있을 때, 언제든 찾아뵐 수 있도록 해주십시오.” 대통령은 바로 동의했고 그의 보좌관들에게도 똑같이 명령했다. 모두가 관심을 갖기 전에는 아무도 안전에 관심이 없다는 게 불편한 현실이다.

3. 노력의 집대성 (Unity of Effort)

조직 설계를 변경하는 것은 타이태닉호의 갑판 의자를 재배치하는 수준의 일이 아니다. 피해가 발생했을 때, 그 결과를 최소화하고 피해를 줄일 수 있도록 하는 것이다. 이는 회사가 언제 일어날지 모를 재난과 위기를 예상하고 대비하는 데 노력을 쏟아부으며 체계적으로 대응책을 설계할 때에만 가능하다.

9/11 테러 공격 이후, 많은 회사는 CSO(최고 보안 책임자)를 적절히 승진시키거나 고용했다. 이후 10년 동안 기업은 사이버 공격과 취약점을 경험했고, 결과적으로 CISO(최고 정보 보안 책임자)가 탄생했다. 현재 팬데믹 대유행으로 인해 주요 기업들이 CMO나 CHO, 즉 최고 의료 책임자 또는 보건 책임자를 고용하고 있다. 매우 많은 임원이 생긴 것이다.

이러한 행동은 칭찬할 만하지만, 기존 조직과 제대로 결합하지 않는다면 의미가 없다. 한 가지 해결책은 이러한 노력을 감독하는 보안 책임자나 대비 책임자(chief of security or preparedness)를 임명하는 것이다. 앞에서 언급한 다양한 분야 임원의 역할은 각각 서로 다른 위협에 초점을 맞춘다. 하지만 리더의 대응은 총격 사건이든 지진이든, 사이버 침해 또는 바이러스 대유행이든 그 유형에 관계없이 본질적으로 동일하다. 계획을 실행하고, 피해를 최소화하면서 회사를 이끌어야 한다.

예를 들어, 2021년 5월 콜로니얼 파이프라인에 대한 랜섬웨어 공격을 생각해 보자. 이 공격으로 파이프라인 운영자는 일주일 이상 동부 해안의 약 45%에 달하는 지역에 가스와 석유 공급을 중단해야 했다. 사고가 일어나면 분석가들은 “해당 회사가 어떻게 그 지경이 되었는지” 두루뭉술하게 묻는 경향이 있다. 하지만 더 좋은 질문은 다음과 같다.

“그 회사는 불가피한 사이버 위협이나 공급망 마비가 비즈니스와 에너지 위기에 어떤 영향을 미칠지 왜 예측하고 대비하지 않았는가?”

회사는 가스 유통 흐름을 효과적으로 감시할 수 없었다. 사고 발생 시 전체 시스템을 아예 폐쇄할 수밖에 없었던 이유다. 기업의 시스템은 일반적으로 운영(operations)과 정보기술(information technology)로 나뉜다. 이 둘은 상호의존적이어서 한쪽의 위험은 결국 다른 한쪽의 위험이 된다. 콜로니얼 파이프라인에 모든 잠재적 결과를 감독하는 고위 책임 임원이 있었다면, 회사는 더 많은 준비를 했을지도 모른다. 주요 데이터 요구 사항(예: 회사 운영 및 배포와 관련된 요구 사항)을 급여와 같은 통상적 업무 사항과 분리했을 수 있었을 것이다. 그랬다면 대규모 가스 수송 파이프라인이 중단되더라도 재빠르게 트럭과 기타 운송 수단에 활용해 정교하게 대응하고 복구에 나설 수 있었을지도 모른다. 아무런 준비가 되어 있지 않았기 때문에 사이버 공간에서 흔히 볼 수 있었던 사소한 혼란 하나가 결국 전체 국가적인 에너지 공급망의 문제로 커져 버렸다.

. . .
기업에 있어서 대비책 설계는 좋은 홍보(PR) 계획이나 효과적인 훈련 못지않게 필수다. 재난이 상시적으로 발생하는 요즘 같은 상황에서는 더욱 그렇다. 기업이 멋진 차세대 보안 제품에 투자하거나 새로운 자문위원회를 임명하기 전에 먼저 자체적인 아키텍처부터 검토해야 한다. 좋은 준비는 튼튼한 구조에서 나온다. (Good preparedness comes from strong bones)

원문 | Design Your Organization to Withstand Future Disasters



줄리엣 카이엠(Juliette Kayyem)은 하버드 케네디스쿨의 위기관리, 국토안보 프로그램 담당 교수다. 

번역 류종기 에디팅 장선희
(03187) 서울시 종로구 청계천로 1 동아일보사빌딩 9층 (주)동아일보사
대표자: 김재호 | 등록번호: 종로라00434 | 등록일자: 2014.01.16 | 사업자 등록번호: 102-81-03525
(03737) 서울시 서대문구 충정로 29 동아일보사빌딩 8층 (주)디유넷(온라인비즈니스)
대표이사: 김승환, 김평국 | 통신판매신고번호: 제 서대문 1,096호 | 사업자 등록번호: 110-81-47558