Crisis 피해 최소화, 위기로 발전하지 못하도록 예방책도 중요

[보안뉴스= 백봉원 ASIS International Korea Seoul 사무총장] 최근 대한항공의 땅콩회항 논란이 일파만파로 확산되면서 기업 위기관리의 중요성이 더욱 대두되고 있다.

시대가 변하면서 지진, 테러 등 각종 사건사고와 관련한 위협뿐만 아니라, H*N* Flu 조류독감 등의 전염병, 그리고 오너 리스크 등 새롭고 다양한 리스크로 확대되어 가는 추세다.

▲ 기업 보안실무자는 다양한 위상황에 대한 대응방안을 사전에 수립해야 한다.

전 회사 재직 시 Security 조직이 시작된 당시에 비상대응계획서(Emergency Response Plan)를 만들면서 우리나라에서 발생 가능성이 낮은 위기(Crisis) 항목에 대한 대응방안을 만들어야 하는 것인가를 두고 고민하기도 했지만, 시간이 지나면서 이러한 위기상황들이 현실화되어 가는 과정을 보면서 Security 실무자는 가능한 한 다양한 위기상황에 대한 대응방안을 수립하는 것이 바람직하다는 말을 해주고 싶다.

위기(Crisis)란 ‘잠정적으로 부정적인 결과를 가져올 수 있는 예측 불가능한 사건으로 조직, 기업, 산업 및 이와 관련된 이해관계자, 상품, 서비스, 명성에 부정적인 영향을 줄 가능성이 높아 조직 전체가 마비되거나 생존에 위협을 줄 수 있는 위험한 상태’를 말한다. 이러한 사건은 예측하지 못한 상태에서 발생한 사건으로 잘못 대처할 경우 조직, 산업 또는 이해관계자에게 부정적인 영향을 미칠 수 있는 심각하고도 중대한 위협을 준다.

따라서 이러한 위기관리 계획(Crisis Management Plan)를 통해 위기로 인한 피해를 최소화하고, 천재(天災)나 인위적인 사건 사고, 또는 분쟁 등의 위기로 발전하는 사태에 적절히 대처하기 위해 사전에 예방책을 수립하는 것이 무엇보다도 중요하다고 할 수 있다. 선진국의 경우 인명피해 등의 상황에 따라 두 단계의 범주(Category)로 운영하여 상황에 대처하도록 운영하고 있다.

범주 1: 심각한 상황, 직원들의 생명과 안전을 직접적으로 위협

- 대형 테러

- 납치, 강탈, 행방불명

- 직원 및 방문객 위협요소

- 회사 영업 및 이미지 손실

범주 2: 현 상황에서 대처할 수 있으나 범주 1로 확대될 수 있는 상황

- 화재/폭발

- 의료 긴급상황

- 심각한 기상이변

- 폭탄 위협

- 위험물 사고

- 기타 안전, 건강, 환경관련 제반 사고

비상대책위원회(Crisis Management Organization) 운영

우리나라도 세월호 사건 이후 비상대책위원회 구성과 인원을 놓고 논란이 있었던 것으로 기억한다. 사실 선진국의 경우 국가의 비상대책위원장은 최고 권한을 가진 통수권자(우리의 경우는 대통령)가 맡는 것은 당연한 일이다. 또한 위기상황에 대한 체계적인 대응을 위해 각 단계별 조직을 구성, 사건의 확대 상황에 따라 적절하게 대응토록 하는 것이 필요하다.

예를 들어, 화학물질이 유출됐을 경우 1차적으로 기업에서 비상대책위원회를 가동하고 회사가 통제하기 힘든 상황이 되었을 때 지자체가 구성하고 있는 비상대책위원회를 가동시켜 사건에 대응한다. 그리고 만일 바다로 흘러나가 국가적인 위기상황이 될 경우에는 국가 비상대책위원회가 가동되는, 이러한 단계별 운영을 말하는 것이다. 우리나라에서 모든 사고의 상황과 책임을 국가에만 묻고 질타하는 것과는 사뭇 다른 체계임을 알 수 있다.

일례로 글로벌 회사에서 운영되고 있는 비상대책위원회를 정리해 보았다.

위기관리팀(CMT: Corporate Crisis Management Team): 글로벌 차원에서 위기관리 조직 전 부분에 걸친 지침 및 교육을 제공하고 현장팀을 지원한다.

지역위기관리팀(RCMT: Regional Crisis Management Team): 각 지역에서 발생하는 비상사태를 각 지역별(아시아, 유럽, 미주 등)로 관리하고 CCMT에 정보와 전문인력을 지원한다

국가비상대책관리팀(CCMT: Country Crisis Management Team): 국가 위기상황 발생 가능성이 큰 국가에 국가별로 설치된다.

비상대책위원회(ERCT: Emergency Response Coordinating Team): 각 사업장 별로 위기상황에 대한 적절한 대응방안을 마련한다.

*비상대책위원회(ERCT: Emergency Response Coordinating Team)의 조직 및 역할(예)

비상대책위원장(Emergency Response Coordinator): 비상상황 시 모든 활동의 책임자이며 모든 상황을 지휘 통제한다.

비상대책경보/통신책임자(Emergency Warning & Communication Coordinator): 경보, 통신 체계의 책임을 진다.

비상대책 평가 책임자(Emergency Assessment Coordinator): 상황평가(진단)의 책임을 진다.

비상대책 정보 책임자(Emergency Information Coordinator): 외부인사로부터 정보를 수집/배포한다.

비상대책 보전 책임자(Emergency Maintenance Coordinator): 비상시 보전 업무를 수행한다.

비상대책 의료 책임자(Emergency Medical Coordinator): 비상시 응급조치에 대한 책임을 맡는다.

비상대책 보안/연락 책임자(Emergency Security Coordinator): 비상시 보안관련 책임을 담당한다.

비상대책 위험물질 책임자(Emergency hazardous Material Coordinator): 비상시 위험물질 관리에 대한 책임을 담당한다.

비상대책 실무관리 책임자(Emergency Work-Group Coordinator): 비상대피 및 실무에 관한 책임을 담당한다.

비상대책 시설 책임자(Emergency Utilities Coordinator): 비상시 공장업무 가동사항 및 유틸리티에 관한 책임을 담당한다.

*회사마다 다양한 특성을 감안하여 별도의 조직을 추가 또는 조정 편성 운영

비상대응계획서(Emergency Response Plan) 수립

기업은 모든 위기상황에 대해 직원 및 고객 그리고 일반 대중의 안녕과 안전을 가능한 한 최대로 지켜내겠다는 사명을 가져야 한다. 이를 위해 각 기업은 회사 상황에 맞는 비상대응계획서(ERP)를 수립하고, 상황 발생시 신속하고 적절하게 비상상황을 대비해 피해를 최소화하며, 사업의 연속성(Business Continuity)을 이어갈 수 있도록 해야 한다.

ERP란 예기치 못하는 위기상황, 자연 재해 또는 기타 회사 또는 직원에 영향을 주는 비상사태로 인해 발생하는 모든 우발적인 사고를 명시하여 사고를 예방하고 사건, 사고에 따른 피해를 최소화하기 위한 지침서를 말한다.

ERP에는 다음과 같은 내용들을 포함해서 작성한다.

- Crisis Management 개요, 정의

- 위기관리조직(Emergency Response Coordinating Team)의 기능 및 역할

- 위기상황의 규정

- 비상운영상황실(ECC: Emergency Control Center) 및 비상대피계획(EEP: Emergency-Evacuation Plan)

세부 비상대책 계획 및 대응요령

비상연락기관 및 비상연락체계 등

위기관리 조직의 인원 구성은 각 부문 업무에 가장 정통한 전문가로 선정하고 부재 시를 대비해 정·부 2인 이상으로 구성해 최소 1년에 1회 이상 가상 시나리오를 놓고 훈련하는 절차를 수립한다. 그리고 이 훈련에는 경영진이 반드시 참석하여 관심도를 높이도록 해야 한다.

비상운영상황실(ECC: Emergency Control Center)은 비상상황 발생시 ERCT 인원들이 소집되어 모든 상황을 통제/관리하는 비상 상황실로, 사내 2개소 이상 지정하고 같은 지역 동·구 단위 지역 내 2개소 이상, 그리고 타 지역 또는 타도, 시에 2개소 이상 지정하여 유사시에 대비토록 한다.

비상대책 계획 및 대응은 가급적 예상되는 모든 사건사고의 케이스를 정하고 그에 대한 각각의 비상대책위원들의 역할과 임무 등을 기재하여 놓는다. 또한, 각 건물 별 비상대피계획도 부착하여 비상사태 발생시 비상대피계획도에 따라 임직원들이 질서 있게 대피를 할 수 있도록 하고, 전 임직원이 비상시 긴급대처요령을 숙지할 수 있도록 요약된 Booklet 제작 배포하는 것도 좋은 방법이다. 대피훈련은 최소 연 1회 건물별로 실시하도록 한다.

  

*긴급대처요령 주요 내용 예: 비상의료조치/ 자연재해/ 해외출장중 안전조치/ 폭탄 위협/ 화재/ 지진/ 폭발/ 건물 대피 절차/ 사내 폭력 등

※ 전 임직원이 숙지토록 교육, 홍보 필요

아울러 집결지 및 임시 사무실은 사업장 내에 회사 내 대피인원을 수용할 수 있는 공간을 2곳 이상 지정하고 만일 사내 진입이 거부됐을 경우에 대비하여 임시사무실을 호텔 등 외부 가용 사무실로 사전에 지정하여 놓는다(필요장비 설치 가능장소 사전 협의 필수).

기타 별첨에는 위기관리 조직 및 연락처, 임직원 현황 및 비상연락망, 사고 보고/ 상황보고 요령, 기타 유용한 연락처(대사관/ 상공회의소/ 경찰서/ 국정원 등), 비상시 경보(전파) 시스템, 비상물품 리스트, 각 지역별 호텔/ 병원 자료, 비상시 집결지 및 임시 사무실 편성, 외국인 직원 대피 시 준비사항 목록, 각 건물 별 비상대피도 등을 첨부한다.

비상 대응 훈련(Tabletop Exercise)

TTX는 위기상황에 대한 가설을 전제로 위기에 대응하기 위한 계획, 정책, 절차 또는 제반 시스템 및 복구조치에 대한 토론을 활성화하기 위해 기획되어야 한다. 이 훈련을 통해서 사고관리 시스템의 효율성을 제고시킬 수 있으며, 역할 및 책임의 명확화, 위기의 조직적 대응 및 의사소통 방법 등을 개선할 수 있다.

또한, 계획과 실천의 차이를 극복해 참석자의 비상시 대응 전문성 및 자신감 향상시킬 수 있는 것이다. 이 훈련은 참석자 전원의 자유로운 참여할 수 있도록 하며, 이 훈련은 ‘Test’가 아니라는 점을 강조하여 참석자 전원이 참여할 수 있어야 한다.

간혹, 이런 훈련의 필요성에 대한 의문을 제기하는 사람들도 있다. 회사의 비상계획팀이나, 예비군 관리부서에서 국가적으로 시행하는 여러 훈련을 통해 일정부분 형식적으로 반복되었던 습관과, ‘나와는 관계가 없는 일’ 정도로 치부하려는 분위기는 참여에 방해가 되는 요소이다. 따라서 회사는 이런 훈련을 하나의 점검 툴(Tool)로 표준화해 의무적으로 훈련하게 하는 것을 적극 검토해야 한다.

TTX(Tabletop Exercise)란 위기관리에 대한 책임을 가진 회사의 중요인원이 격의 없는 자리에 회합해 가상의 긴급상황을 논의하기 위해 기획된 활동이며 참석자들은 협력사항, 각자의 임무, 사후 조처를 위한 우선순위 등의 질문에 대해 의견을 제시한다. Tabletop 훈련은 시간의 제약 없이 ‘잘잘못을 가리지 않는’ 상황에서 실시한다.

(시나리오 예제)

- 오전 8시 20분

- 상황실에 전화벨이 울림. ㅇㅇ Shop의 ㅇㅇ실에  화재가 발생, 직원 2명이 심각한 부상을 입었다는 신고가 접수됨.

- 한 명은 심하게 화상을 입어 살려달라고 소리치고 있으며, 다른 한 명은 바닥에 누운 채 아무런 움직임이 없다고 함. 제보자는 본인의 위치를 확인할 틈도 없이 급히 전화가 끊김.

<대책>

△ 상황실의 대응 방법은?

△ 수색/상황 진단팀의 파견은?

△ 부상자에 대한 의료조치는?

△ 외부 소방서의 지원 요청은??

참석자들은 회의실에서 주어진 시나리오를 실 상황으로 가정하고, 주어진 내용으로 참석자가 ‘어떻게 조치하겠다’라는 각자의 대응 역할을 발표하도록 한다. 이런 훈련을 통해 참석자의 비상시 대응 전문성 및 자신감 향상시킬 수 있는 것이다. 또한, 진행자는 평가서를 만들고 결과를 피드백(Feedback)하고 점차적으로 훈련을 향상시키도록 한다.

▲ Crisis Mamagement

위기관리(Crisis Management)의 예방활동은 여러 가지가 있을 수 있지만, 주요 내용은 다음과 같다.

- ERP(Emergency Response Plan) 구축

- Tabletop 훈련 실시

- 비상연락망 점검훈련 실시

- 긴급 문자 서비스 시스템 개발

- 임직원 Meet-me Line 구축

- Emergency Hotline(Voice Mail) 구축

- 비상통제센터(Emergency Control Center)

- 비상장비구축(Laptop, 위성전화기, 휴대폰, 국제전화카드 등)

[글 _ 백 봉 원 ASIS International Korea Seoul 사무총장

(메일: jhpaik100@daum.net / 카페 : http://cafe.naver.com/securitycso)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>