[시큐리티월드 유종기] 지난 11월13일 파리 테러 이후, 지구상 어느 한 나라도 테러에서 자유로울 수 없는 ‘유비쿼터스 테러(Ubiquitous Terror)’ 시대가 왔다고 보는 견해가 지배적이다.

테러의 빈도가 늘어났을 뿐 아니라 대상도 바뀌고 있어 공포심이 어느 때보다 높아진 상태다.

종전엔 테러 공격 대상이 주로 정부 시설이나 공공기관이었으나 이제는 불특정 다수의 대중을 겨냥한 ‘소프트 타깃(Soft Target)’으로 옮겨가고 있어 기업도 안심할 수 없는 상황이다.

안전, 보안, 위기관리 분야에서 ‘1:29:300의 법칙’으로 잘 알려져 있는 하인리히 법칙이란 게 있다.

한 번의 위기 사건이 발생하기 전에는 29번의 유사 사건과 300번의 잠재 징후가 존재한다는 것이다.

큰 사고가 발생하기 전 그와 관련된 징후가 반드시 존재한다는 얘기인데 이 300번의 징후와 29번의 경고를 간과하지 않고 대비하면 큰 실패를 막을 수 있다.

실제로도 대규모의 재해, 재난 등 충격은 아무런 경보 없이 일어나는 경우는 거의 없다고 한다.

테러와 같이 고의적 또는 의도적으로 손상을 미치는 위협과 공격(Intentional Disruption)의 경우에는 하인리히 법칙과 논리가 잘 맞지 않는다.

특히 의도적인 위협의 경우, 그 공격이 방어수단에 대한 ‘적응성’이 있기 때문에(Adapt To Defensive Measures) 그 가능성을 예측하는 것이 매우 어렵다.

또한 그 적응성 때문에 의도적 공격은 새로운 위협의 성격을 예측하는 데 있어 별 큰 도움이 되지 않는다.

고의적 손상 사건의 대표 격인 ‘테러’는 공격의 성공과 함께 테러 대상에 최대한의 피해를 입히는 것을 목적으로 한다.

하나의 가능한 테러의 표적을 특정 형태의 공격으로부터의 ‘보호 강화’하는 것은 다른 목표물에 대한 공격의 가능성을 높이거나 또는 다른 형태의 공격의 가능성을 높일 수도 있다.

기업에 있어서 의도적 공격은 최악의 시점에 최악의 장소에서 벌어질 수 있다. 즉 기업이 가장 방비가 되어 있지 않은 때에 일어날 수 있다는 의미다.

‘무엇을 상상해도, 그 이상을 보게 될 것이다’라는 광고 카피와 같은 일들이 기업의 경영 현장에서도 종종 벌어진다.

따라서 최근 발생한 파리 테러와 같이 기존 사고방식으로는 잘 해석되지 않는 새로운 유형의 사건이면서 사회적·경제적 파급효과가 엄청난 ‘X이벤트’에도 대응할 수 있도록 기업은 대비해야 한다.

X이벤트의 대응 전략을 위해 다음의 ‘5R’을 실천해 볼 것을 권고한다.


⓵예상치 못한 충격을 흡수하는 견고성(Robustness)을 지녀 혼란을 견디고 사건이 전체 시스템으로 확산되는 것을 막아야 한다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n ⓶필수 잉여자원을 마련해 대규모 외부 충격에도 시스템을 이용할 수 있도록 예비능력(Redundancy)을 지녀야 한다.

⓷창의성과 혁신을 토대로 융통성(Resourcefulness)을 통해 위기 상황에서 즉흥적인 기민함을 발휘해야 한다.

⓸신속하게 상황 파악을 하는 대응력(Response)을 길러 주요 이해관계자 간의 빠른 의사소통과 참여를 이끌어야 한다.

⓹사건 발생 후 상황 변화에 적응하는 데 그치지 않고 조직 역량을 정상으로 되돌리는 회복력(Recovery)을 갖춰야 한다.

[글 시큐리티월드 유종기 한국IBM 글로벌테크놀로지서비스 실장 (yjongk@kr.ibm.com)]

[월간 시큐리티월드 통권 227호 (sw@infothe.com)]

<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>