| 보안, 리스크 관리의 이해 | 2011.01.11 |
CSO(Chief Security Officer)와 기업리스크 관리(1)
본지는 올해부터 기업보안과 관련해 분야별로 각종 이슈들을 짚어보고 합리적인 대안을 제시함으로써 각 기업에서 효율적인 보안정책을 수립하기 위한 길잡이 역할을 할 수 있도록 <기업보안 길라잡이> 코너를 신설한다. 이번 호는 ‘CSO(Chief Security Officer)와 기업리스크 관리’라는 주제로 딜로이트 안진회계법인 기업리스크관리본부 유종기 이사의 기고를 4회에 걸쳐 소개한다.
기업리스크에 따른 피해 지난 12월 8일 새벽에는 기업에서 우려하는 한건의 사고가 일본에서 터졌다. 욧카이치에 위치한 발전소 변전설비 이상으로 전원공급이 순간 중단되어 많은 기업들의 조업에 영향을 주었는데 특히 낸드(NAND) 플래시메모리를 만드는 도시바 공장의 타격이 가장 컸다고 전해졌다. 마침 이 메모리는 최근 스마트폰, 스마트패드(태블릿PC)와 같은 고성능 휴대용 정보통신기기의 시장수요가 폭발적으로 커지면서 해당 시장성장률이 사상 최고치를 경신할 전망이 터져 나온 때였다. 단 0.07초의 전압저하로 인해 발생한 사고로 도시바는 내년 초 출하량의 최대 20% 감소가 전망되고 있는 가운데 삼성전자, 하이닉스반도체가 반사이익과 수혜를 누릴 것이라는 분석이 속속 나오고 있다. 갑작스런 정전, 지진 등의 돌발상황으로 인해 반도체 생산에 차질이 생기는 데 커다란 부담을 갖고 있는 기업들이 구매 패턴의 다양화와 공급채널의 다각화를 고려하여 국내기업의 추가적인 사업기회로 연결될 것이라는 예측이 그 이유이다. 기업리스크 관리의 중요성 오늘날 기업이 직면해 있는 비즈니스 환경은 매우 커다란 불확실성과 예측불가능성, 그리고 상호연결성(interconnectivity)과 상호의존성(interdependency)으로 특징지어 표현할 수 있다. 정보는 과거보다 훨씬 멀리, 그리고 빠르게 퍼져나간다. 따라서 기업은 10~15년 전만 해도 전혀 알 수 없었던 새로운 리스크과 위협에 노출되어 있어 보안과 리스크 관리를 다루는 기존 방법을 상당부분 재검토해야 하며 새로운 접근법을 찾아야 한다고 전문가들은 지적하고 있다. 무수한 기업이 경쟁하는 세계화된 환경에서, 기업은 결국 재정적인 리스크는 물론 물리적 리스크에 이르기까지 모든 리스크 관리를 기업의 최우선 의제(The Corporate Agenda)로 고민해야 한다는 것이다. 한때는 기업 리스크관리의 전부로 여겨져 왔던 기밀유지(secrecy) 조차도 이젠 유지하기 어려워진 실정이다. 이에 따라 보안 및 리스크관리를 보는 과거 관점들에 대한 재평가의 필요성이 증대되고 있으며, 새로운 접근에 대한 인식이 자리를 잡아가고 있는 것 또한 사실이다. CSO의 역할 IBM 앞에서 논의된 이슈들에 효과적으로 대응하기 위해서 기업은 큰 영향을 미칠 수 있는 광범위하면서도 중대한 상호의존적인 리스크들을 관리하고 식별해야 하고 발생빈도는 낮아도 충격이 강한 리스크에 대비해서는 사전대책을 세워야 한다. 또한 최고경영진과 이사회가 관련된 위험과 통제의 원인과 해결책을 정확하게 거의 실시간으로 통보 받고 의사결정을 내릴 수 있도록 관련 유관부서들 간의 내부 정보, 커뮤니케이션체계를 개선하는 등의 업무를 진행해야 한다. 그렇다면 조직 내에서 누가 이러한 업무들을 맡아 전체적으로 조율하고 진행할 수 있는가? 바로 최고보안책임자인 ‘CSO(Chief Security Officer)’이다. 오랜 역사와 전통을 자랑하는 글로벌 회사인 IBM의 Corporate Security에서 정의하고 있는 CSO의 임무를 보면 다음과 같이 정보보호(Information Security)나 물리적 보안(Physical Security)에만 국한되어 있지 않음을 알 수 있다.
Deloitte 전 세계 17여만 명의 임직원을 보유하고 있는 글로벌 회계자문, 컨설팅 회사인 Deloitte의 경우도 GSO(Global Security Office) 조직을 부사장 급의 CSO가 리드하고 있다. 140여 개의 각 회원사들의 인적자원관리(HR) 부서와 긴밀하게 협력하며 각 지역 조직의 리스크, 정보기술(IT), 법률 업무에 관여한다. 또한 매주 최고경영진에게 딜로이트 계열사의 비즈니스에 영향을 미칠 만한 경제적, 지정학적 지표의 흐름과 변화를 보고하는 등 CSO의 역할과 책임이 매우 광범위하면서도 회사 내에서 미치는 영향력과 장악력이 매우 크다는 것을 알 수 있다. 아래 기술한 것처럼 임직원 보호(Duty of Care)에 도움이 되는 실질적인 정보, 지침 및 체계를 마련하는 한편, 평상시의 보안 및 리스크 관리뿐만 아니라 비상상황 발생 시 위기대응과 비즈니스 연속성 확보에 기여할 수 있는 구체적 조치를 마련할 수 있도록 CSO 주도의 Global Security Office에서 진행하고 있다.
CSO와 관련조직 신설 및 역할 강화 필요성 과거에 비해 불확실성과 예측불가능성이 매우 커지면서 부정적 요소를 얼마나 잘 극복하는지 여부가 그 기업이나 조직의 가치를 결정짓는 잣대가 되고 있다. 특히, 글로벌 기업들과 사활을 걸고 비즈니스 활동을 수행하고 있는 우리 기업들 입장에서는, 북한 리스크뿐만 아니라 불안정하고 예측 불가능한 환경 속에서 일련의 비즈니스 활동을 든든하게 뒷받침해주는 대응능력에 대한 내부역량과 안전장치를 미리미리 준비하고 마련하는 것이 중요한 시점이 되었다. 대형 자연재해와 테러, 신종인플루엔자 창궐과 같은 소위 ‘대규모 충격(Large-scale Shock Events)’에서도 기업이 어떻게 대처하는지, 즉 위기대응능력은 더 이상 선택의 문제가 아닌 기업의 중요한 자산이며 성공적인 기업의 핵심역량이라는 인식의 전환이 필요하며, 국내에는 아직 도입이 지지부진한 CSO와 그 조직이 이를 주도적으로 이끌어야 할 것이다. 앞으로 3회에 걸쳐 보다 심층적으로 기업리스크관리와 CSO의 역할, CSO의 과제와 도전 그리고 Deloitte GSO(Global Security Office) 조직 모범사례 소개를 통해 ‘CSO(Chief Security Officer)와 기업리스크 관리’에 대해 논의하도록 한다. <글 : 유 종 기 딜로이트 안진회계법인 기업리스크관리본부 이사(jongkiyoo@deloitte.com)>
[월간 시큐리티월드 통권 제168호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
최근 기업에 있어서 가장 이슈가 되고 있는 리스크는 당연 ‘북한 리스크’이다. 북한의 연평도 공격 사태와 한미연합훈련, 그리고 해상사격훈련까지. 한반도에 긴장감이 극도로 고조되면서 전쟁에 대한 우려와 불안, 그리고 관심이 매우 커져가고 있다. 과거에도 그래왔지만 북한의 핵실험이나 도발, 무력행위는 우리나라뿐만 아니라 전 세계의 주목을 받는 사안이다. 실제로 많은 사람들이 우려하는 전면전은 아니더라도 국지적 무력충돌이 발생하는 경우 그 심각성에 따라 국내외 투자자들의 투자심리에 악영향을 주는 것은 물론 더 나아가 엄청난 사회혼란으로 인하여 재해재난에 버금가는 엄청난 경제활동의 마비와 기업 활동 중단도 예상해 볼 수 있다.