[스크랩]기업 위험분석과 관리
최 선 태 | 한국기업보안연구소(www.security.ne.kr)
대표컨설턴트·이학박사 (info@security.ne.kr)
위험관리의 개념
현대 사회의 어떠한 조직도 위험으로부터 자유로울 수 없듯이, 기업을 경영하는데 위험(리스크)을 동반하지 않는 경우는 존재하지 않는다. 세계화란 말 자체도 기업의 리스크 관리가 기업의 통제권을 이미 벗어났음을 의미하기도 한다. 이러한 위기관리와 위기의식의 중요성에 대해 카를로스 곤(Carlos Gohn) 르노닛산자동차 사장은 위기감을 체계적으로 유지하는 일은 기업경영에서 매우 중요한 요소라고 강조하기도 했다. 특히, 인간은 위기가 눈앞에 닥쳐야 반응하는 인식의 한계로 인해 위기시 적절한 위기관리능력과 평상시 일정수준의 위기의식 공유가 변화에 발 빠르게 대처할 수 있는 오늘날 경영자의 첫 번째 자질로 평가되고 있다.
21세기 세계경제 시스템은 구조화된 변동성으로 특징지어지며, 이러한 새로운 패러다임은 소비자, 기업, 정부가 위기에 적절히 대응하는 것을 어렵게 하고 있다. 또한, 전 세계적으로 테러리즘의 확산과 전쟁, 기상이변과 원인모를 괴질과 같은 전염병의 확산은 21세기를 불확실성의 시대로 몰아넣고 현대인의 불안감 확산을 부채질하고 있다. 기업은 이러한 불확실성에 의한 위기를 타개하기 위해 산업정보의 수집과 분석에 전력투구하고 있다.
기업이 직면한 주요한 위기에는 위험관리의 미흡으로 인한 기업재산손실과 수입 감소, 배상책임, 시장 환경의 급변에 따른 시장의 상실 그리고 인종·국가간 전쟁이나 테러로 인한 다국적기업의 인적·물적 손실 등의 여러 가지가 있으며, 이러한 위험요소들이 급변하는 현대의 기업경영 현실에서 기업의 성패를 가르는 상수가 되고 있다. 이렇듯 예상하기 어렵고 피할 수 없는 위험은 적절하게 관리·통제하는 것이 최선의 방법이다.
지난 2002년 대한상공회의소가 220개 기업을 대상으로 한 조사에서 한국기업의 위기관리 수준은 대부분이 전략적·실천적 위기관리체계가 구축돼 있지 않을 뿐더러 위기관리를 일반적으로 금융위기관리로 인식하는 것으로 초보단계에 머물고 있는 반면에, 외국계 기업은 위기에 대한 사전감지능력 및 정보수집력의 미흡 등을 위기관리의 문제점으로 지적해 초보단계를 지나 이미 선진단계로 진입하고 있는 것으로 나타났다.
위험관리의 제반이론
로우퍼(Carl A. Roper)는 위험관리란 ‘위험을 평가하고 피해자가 수용할 수 있는 수준(acceptable level)까지 위험부담을 줄이기 위한 조치를 강구하며, 이러한 위험수준을 유지하는 것’이라고 했다. 또한, 브로더(James F. Broder)는 위험관리를 ‘어떤 독립적인 실체(entity)가 가지는 잠재적인 손실에 대해 규명하고 어떻게 이러한 잠재적인 손실을 관리할 것인가를 판단하는 과정’이라고 정의했으며, 위험관리의 목표는 손실을 발생할 수 있는 수많은 사건들에 대한 종합적인 관리를 통해 손실이 불가피한 것을 최소한의 비용으로 효과적으로 관리하는 것이라고 설명했다.
이 외에도 헤드(George L. Head)는 위험관리를 ‘가능한 최소한의 비용으로 조직에 미치는 우연한 손해의 불이익한 영향을 최소화하기 위해 조직의 재산 및 활동을 계획·조직·지휘·제어하는 과정’으로 정의했으며, 위험관리 전문가인 지글리오티(Gigliotti)는 위험관리는 ‘일반적으로 인간의 건강과 안전에 대한 위협을 감소시키고, 대중과 기업의 재산 손실을 차단하며 정상적인 조직 또는 기업의 활동에 미치는 영향을 최소화하기 위해서 현재의 운영 환경을 신속하고, 능률적이며, 효과적으로 다룰 수 있는 조직의 능력’이라고 정의하고 있다. 이와 같이 기업이나 조직의 생존을 위해 위험관리는 필수적임을 알 수 있다.
시큐리티 부서의 위험관리
기업 시큐리티 부서의 목적과 책임 중에 가장 중요한 분야 가운데 하나가 기업에 적합한 안전대책을 개발해 적용함으로써 잠재적인 손실분야를 규명하고, 계속적으로 안전관리 임무를 수행하기 위한 연구과정인 위험분석과정이다. 이러한 위험분석과정의 목적은 시큐리티 진단을 토대로 포괄적·통합적으로 기업의 잠재적인 문제점을 규명하는 것이다. 이처럼 기업의 위험관리는 기업의 위험요소를 평가하고 일반적으로 경영진이 수용한 비용한도에서 기업이 수용할 수 있는 수준까지 위험요소를 낮추기 위해 시큐리티 대책을 강구함으로써 일정 수준이하로 위험을 통제·관리하는 것을 의미한다.
위기상황 발생에 대비해 지속적으로 준비한 조직은 그 피해를 최소화할 수 있으나, 임기응변으로 대응한 조직은 피해를 줄이기 힘들게 된다. 그러나 우리나라에서는 열거하기도 어려울 정도로 수많은 자연재해와 인위적 재난들이 지속적으로 발생하고 있으나 여기에 대한 대책은 일시적인 처방에 그침으로서 또 다른 재앙에 무방비한 상태다.
이러한 대책의 한계에는 여러 가지 구조적인 문제들이 숨어 있는데, 1차적으로는 이러한 재난을 효과적으로 관리할 전문가 집단의 부재와 기업의 안전성이 아닌 규모와 성장위주의 경제정책을 들 수 있다. 이러한 전문가 집단의 부재와 성장위주의 정책은 국민전체의 안전의식 결핍으로 나타나 사전에 관리 가능하고 피해를 줄일 수 있는 사건들까지 엄청난 피해로 직결되는 악순환이 계속되고 있다.
위험과 불확실성
시카고학파의 창시자인 미국의 경제학자 나이트(Frank H. Knight)는 위험과 불확실성을 적절히 구분해 새 국면을 개척했다. 위험은 결과를 파악할 수 있으며 그 확률을 측정할 수 있는 반면, 불확실성은 분석을 통해 결과를 파악하기 어렵다. 또한 위험은 보증할 수 있으나 불확실성은 그렇지 못하다. 따라서 나이트는 저서 ‘위험, 불확실성과 이윤(Risk, Uncertainty, and Profit, 1921)’에서 기업의 이윤은 불확실성과의 성공적인 교전을 통해 창출된다고 주장했다.
위험과 위기
위기(crisis)의 어원인 그리스어의 ‘크리나인(krinein)’이라는 말은 분기점의 의미로써 피할 수 없는 갈림길에서 단호한 선택을 해야 하는 고통스럽고, 불확실한 환경을 의미하며, 결정적 변화가 목전에 닥쳐 회피가 불가능한 불안정한 시간 또는 일의 상태를 뜻한다. 즉, 위기관리(Crisis Management)란 피할 수 없는 재해시의 복구 과정에 초점을 둔 부분이고, 위험관리(Risk Management)란 평상시에 행해지는 피해경감(mitigation)에 초점을 둔 것으로, 이 경우에는 피해의 극심한 정도와 그 발생확률을 고려해 가장 합리적인 대책을 결정하는 것이 중요하다. 결론적으로 위험관리는 재해 전에 과거에 발생했던 재해를 통계적으로 분석, 미래의 위험에 대해 최적의 사전예방과 준비를 하는 개념인 반면, 위기관리는 전쟁과 같은 피할 수 없는 재해 시 상황에 따라 대응을 어떻게 할 것인가가 주요 문제로 대두되는 개념이다.
기업위험의 종류
위험은 우리가 생각하는 모든 활동과 관련돼 있으나, 다음에서 언급하는 내용은 기업의 재정적인 손실과 같은 불확실성, 현실과 기대되는 결과와의 변화 정도, 손실이 발생했거나 발생할 가능성이 있는 손실에 대한 위험의 의미로서 제한한다.
① 자연재해(태풍, 폭우와 한발, 혹한과 혹서, 지진과 해일)
② 산업재해(폭발, 화학물질의 누출, 건축물의 붕괴, 화재)
③ 시민소요(사보타지, 근로자 폭동, 폭발위협)
④ 국제적 또는 국내에서의 테러리즘(인종·국가·정파간의 갈등)
⑤ 범죄행위(강도와 절도, 횡령과 사기, 산업스파이, 내부인의 절도, 하이재킹)
⑥ 이익갈등(뇌물, 내부정보의 거래, 비윤리적인 기업관행)
⑦ 핵물질사고(방사능 누출과 같은 원자력 발전시설의 불안전성)
위에서 언급한 위험의 내용을 시큐리티 진단이나 검사를 통해 기업과 명확하게 관련된 위험을 상술하면 대체적으로 다음의 사항을 포함하나 이것이 기업위험의 전부는 아니다.
① 기업 내·외부인에 의한 절도, 주거침입, 사기, 횡령, 반달리즘, 방화, 컴퓨터 범죄, 폭탄위협, 영업비밀의 절도와 산업스파이, 문서위조, 제품위조와 상표권 위반, 강도와 강탈, 납치와 유괴 등의 범죄손실이 기업이나 산업활동을 통해 발생하는 가장 일반적인 범죄위험이다.
② 화물 좀도둑, 제품의 손상과 파괴
③ 비상사태와 재난 시의 기업연속성기획
④ 경영진과 임직원의 법적책임
⑤ 산업안전보건법령에 의거하여 부과된 기업의 환경적인 통제
⑥ 화재, 홍수, 지진, 폭풍, 폭발, 건물붕괴, 위험한 공정으로 기인한 재산의 손실
⑦ 기업체가 법적으로 책임을 지는 모든 활동에서 기인한 손상에 대한 포괄적인 책임
⑧ 기업 활동의 중단과 파생되는 추가적인 비용, 이런 유형의 위험의 평가는 다양한 영역을 아우르는 상세한 연구와 외부 재화와 용역의 공급업체를 통해 얻어진다. 이러한 결과에 따라서 위험을 감소시키기 위한 광범위한 재난계획의 필요성이 제기된다.
⑨ 기업 활동의 실수나 업무태만으로 인한 법적책임
⑩ 제조물책임
위험관리의 목표
① 기업에 있어 현실적인 위협의 평가나 위험수준의 비용에 관련되거나 시큐리티 전략과 연계된 효과적인 체제를 통해 위험관리에 대한 일반적인 접근방법이나 기준을 모든 관계자들에게 제공한다.
② 위험관리에 관련된 원칙과 기본적인 개념을 고객이 이해할 수 있도록 한다.
③ 특정한 기업이나 조직에 유연하게 적용할 수 있는 체계화되고 분석적인 틀을 위험평가나 판단에 적용하도록 지원한다.
④ 특정한 기업의 재산에 대한 잠재적인 손실의 영향력, 위협, 그리고 취약성에 대해 구성원 개개인의 인식을 확대하고 개발한다.
⑤ 손실의 영향, 위협, 취약성의 통합된 평가에 근거해 다양한 안전(시큐리티)에 관한 대응책과 권고사항을 개발한다.
⑥ 기업의 잠재적인 손실의 영향, 위협 그리고 취약성의 관점에서 구성원의 안전의식을 향상시키고 개발한다.
⑦ 손실의 영향, 위협, 취약성 그리고 관련된 재원들에 대한 통합된 평가에 근거해 최고경영진들의 의사결정에 도움이 되는 시큐리티에 관한 권고사항의 판단을 가능케 한다.
이와 같은 목표를 통해 다음의 세부사항을 결정하는 것을 가능케 한다.
① 기업과 시스템의 약점을 규명한다(중요인물 보호, 원료공급 시스템, 정보누설, 네트워크나 주요 시설물 등).
② 고객의 귀중한 재산을 보호하기 위한 비용효과적인 대책 선정과 한정된 재원의 투입에 의한 합리적인 의사결정을 위한 수용 가능한 방법을 제공한다.
③ 위험에 대한 정보교류의 강조와 최종적인 의사결정 부서나 기업에의 권고에 의해 기업 안전 활동의 성공확률을 높인다.
④ ‘얼마 정도의 비용이 안전에 대한 투자로서 적정한가?’에 대해 기업안전실무자와 핵심 의사결정자의 의문에 대한 해답을 얻는데 도움을 준다.
⑤ 모든 조직의 시큐리티 업무에는 손실을 방지하기 위해 투입되는 비용(input)에 따른 얻어지는 성과(output) 사이의 의사결정자가 수용 가능한 균형(trade-offs)이 이루어지도록 의사결정의 근거를 제시한다.
앞서 내용들은 다양한 위협요인 전반에 걸쳐서 이러한 평가를 어떻게 검토할 것인가에 대한 지침을 제공함으로서 위험평가 또는 안전에 관해 재검토를 고려하는데 관리자에게 도움을 줄 것이며, 기업의 잠재적 리스크 관리를 위한 다음의 위험평가와 관리 모델은 잠재적인 위협에 적절한 대응을 가능하게 할 것이다.
위험평가 절차
먼저 기업의 위험평가 분석을 하기 전에 사전준비에 상당한 시간이 요구된다. 외부 컨설팅의 경우 컨설턴트들은 분석과정에서 의뢰인이 어떠한 압박감을 느끼는지를 규명하고 업무의 목표와 핵심을 결정하기 위해서 반드시 의뢰인(재산 소유자)과 간단한 인터뷰나 브리핑을 실시해야 한다. 왜냐하면 재산 소유자는 기업에서 자신 재산의 위험성 여부나 그의 재산이 어디에 무엇이 분포하는지를 가장 잘 알고 있기 때문이다.
또한, 컨설턴트는 주주들의 주요한 관심들을 인지하고 그들의 목표를 고려해야 할 것이다. 왜냐하면 주주들은 그들 재산의 보호를 경영진이나 기업에 귀속시키기 때문이다.
시큐리티 진단의 결과를 토대로 컨설턴트는 ①재산평가 ②위협평가 ③취약성평가 ④위험평가 ⑤대응책 선정 등 위험관리공정 5단계에 따라 위험평가를 실시한다. 5단계를 보다 구체적으로 설명하면 다음과 같다.
① 재산평가 단계에서 컨설턴트는 기업의 임무와 운영에 필수적인 중요재산(인적, 물적, 지적)이 무엇인가를 규정하고 수치화하는데 중점을 둔다.
② 위협평가 단계에서는 규명된 중요한 재산에 위협을 미치는 외부적인 요인(경쟁기업, 범죄분석, 협력업체, 해커, 산업스파이 등)을 규명하는데 초점을 맞춘다.
③ 취약성평가 단계에서는 보호대상인 특정재산이나 원치 않는 사건ㆍ사고와 관련된 내부 취약성(기업 시큐리티 정책이나 절차, 구성원의 의식과 부정행위, 안전요원과 출입통제 시스템 등)을 규명하고 특성화한다.
④ 위험평가 단계에서 컨설턴트는 1~3단계의 결과표(재산/위협/취약성)를 활용해 첫째, 확인된 원하지 않는 사건이나 사고중의 하나에 의해 구체적으로 재산이 손실되거나 피해를 입었을 경우에 발생 가능한 영향은 무엇인가? 둘째, 위해요인들이 이러한 확인된 재산에 대해 공격시 가장 있음직한 방법은 무엇인가? 셋째, 위해요인들이 확인된 재산을 목표로 삼아 공격할 경우에 발생 가능한 가장 취약한 부분은 무엇인가? 등의 질문에 대한 체계적인 분석을 통해 개별적인 분류의 등급을 매긴다.
⑤ 마지막 대응책 수립단계에서는 위험분석표를 활용해 해당기업의 재산에 대한 전반적인 위험을 수용 가능한 수준까지 낮추는 방안으로써, 특정한 위해요인에 적용되는 가능한 대응책에 대한 효율성 평가에 의해 가장 비용효과적인 결정을 함으로써 해당기업의 의사결정권자에게 대책을 제안하는 단계다. 이 때, 컨설턴트는 선택사항으로서 최소한 2가지 대책을 제공해 의사결정자가 기대되는 위험비용과 대책의 효과를 선택할 수 있도록 한다.
이러한 위험관리 5단계 공정은 기업에게 다음의 사항을 가능케 한다.
① 기업에서 보호가 필요한 중대한 재산이 무엇인가를 결정하게 한다.
② 중대한 재산에 위협이 되는 다양한 유형을 알 수가 있다.
③ 특정한 위협요인과 관련된 구체적인 취약성에 대한 고려가 가능하다.
④ 계속적인 기업운영을 통해 원치 않는 사고의 결과나 영향에 대해 알 수가 있다.
⑤ 원치 않는 특정한 사고와 관련된 상대적인 위험의 수준을 미리 예상·견적할 수 있다.
⑥ 이미 발생했던 원치 않는 사고와 유사한 사고를 줄일 수 있고, 위험을 완화시키는 활동이나 대응책들을 세울 수 있다.
⑦ 다양한 기업위험 대응전략의 비용효과에 대해 분석이 가능하다.
⑧ 최고경영진이나 기업 고객들에게 현재의 위험분석결과나 대응책 선정 및 권고사항에 대해 전달할 수 있는 전략을 수립할 수 있게 한다.
이와 같이 위험관리공정에서는 보다 신중한 판단과 다양한 위험관리 지식습득을 위해 5단계의 분석적 방법론을 통한 시스템적인 접근이 필요하다.
1. 재산평가
재산평가 단계에서 시큐리티 전문가(재산소유자의 대리인과 함께)는 조직의 임무와 운영에 있어 중요한 재산이 무엇인가를 규명하는데 중점을 둔다. 이러한 재산 규명과 우선순위의 결정에 따라 조직에서는 가장 중요한 그들의 재원에 중점을 두는 첫 번째 단계를 수행한다.
이러한 대부분의 중요재산들은 크게 유형(사람, 시설, 장비 등)과 무형(정보, 공정, 평판 등)재산으로 구성된다. 오늘날 기본적인 기업운영에서는 정보나 자동화된 공정인 무형의 재산이 유형의 재산보다 더 중요하다. 따라서 조직에서는 원재료와 생산된 제품이나 각종 장비와 같은 물리적 재산이나 공정과 더불어 조직의 기능과 구성원에 관한 정보를 포함한 중요한 재산적 정보를 보호하는 것이 필수적이다.
표 1. 재산평가 작업표의 예 재산 원치 않는 사건이나 사고 손실 평가 중요 인물 부상이나 사망에 의한 가용성의 상실 높음 파일 서버 정전으로 인한 가용성의 상실 중대함 고객 데이터 허가되지 않는 내부인의 침입으로 인한 기밀성의 상실 높음 주요한 생산시설 자연재해로 인한 가용성의 상실 중대함 기간시설 사보타지로 인한 가용성의 상실 중간
이러한 각각의 개별적인 재산을 보호하기 위해서는 조직에서 보유하고 있는 재산의 파괴나 손상, 그리고 손실의 영향과 원치 않은 사건의 유형을 규명해야 한다. 이러한 재산의 모든 가치는 위험성의 영향에 달려있다.
표 1은 재산평가의 결과를 기록하는데 사용되며, 재산평가는 다음의 3가지 단계가 여기에 근거해 진행되므로 위험관리 분석과정에서 가장 중요한 단계다.
2. 위협평가
위협평가 단계에서 시큐리티 전문가는 이전에 규명된 재산에 부정적인 영향을 미치는 경쟁자나 사건에 초점을 맞춘다. 여기에서 컨설턴트나 시큐리티 전문가는 반드시 연구나 인터뷰를 통해 얻어진 정보나 신뢰할 만한 데이터를 가지고 판단해야 하며, 자신의 직관적인 지식은 배제해야 한다.
또한, 위협은 기업경영의 주요한 장애물로 반드시 고려되어야 할 사항이다. 이러한 장애물들의 일반적인 유형은 범죄, 경쟁기업, 해커, 외국정보기관, 테러리스트 등이 포함된다. 장애물들의 위협이 어떠한가에 대해 판단하기 위해서 컨설턴트 혹은 시큐리티 전문가들은 위협요인들이 원치 않은 사건의 원인이 되는 의도나 가능성, 그리고 1단계에서 규명된 재산의 유형에 대항하는 성공적인 공격의 과거 이력(증명된 현재까지의 실적)에 대해 반드시 고려해야 한다. 앞에서 언급했듯이 기업의 핵심적인 정보와 자동화된 공정은 더욱 중요하게 고려돼야 한다.
더불어 재연재해와 사고 등과 같은 유형은 의도된 것이 아니더라도 위협요인으로 취급되어야 하고, 가상공간에서의 사건들(예 : 바이러스와 서비스부정 공격) 또한 독립적인 위협요인으로 취급되어야 하며, 인터넷에 연결된 중요한 네트워크를 가진 어떠한 조직이든지 반드시 대규모 네트워크 환경에서의 사건에 대해 경계해야 한다. 또한, 정치적인 동기로 격렬한 소요가 발생할 경우에, 이러한 소요 중에 개별적인 조직의 합류에 관계없이 물리적으로나 사이버상의 수단으로 네트워크 기반구조에 대한 공격이 가해질 수 있다고 예상할 수 있으므로 이에 대해 대비해야 한다. 이러한 소요 집단들은 종종 민간이 운영하고 있는 것과는 관계없이 공익설비(수도, 전기, 가스, 대중교통 등)를 정부의 한 부분으로 간주하고 파괴한다.
이 밖에 세계화의 상징으로 다국적기업이나 은행도 공격대상이 된다. 미국은 거대한 지구촌에 걸쳐있는 다민족 국가이나 세계화를 명분으로 전 세계 자본을 좌우하는 역할을 하는 미국 기업체들은 수많은 이유를 갖다댄 무차별 공격으로 인해 어려움을 겪고 있다.
이렇듯 다양한 위협요인의 데이터를 체계화하기 위한 효과적인 방법은 위협평가표(표 2)를 활용하는 것이다.
|
표2. 위협평가작업표의예 | ||||||
|
재산 |
원치않는사건이나사고 |
위협요인 |
의도- |
가능성 |
이력 |
위협의 수준 |
|
중요인물 |
부상이나사망에의한 가용성의상실 |
범죄자나 테러리스트 |
있음 |
있음 |
드문 |
낮음 |
|
파일서버 |
정전으로 인한 가용성의 상실 |
건축물의 주변 |
기록없음 |
있음 |
인근에 존재 |
보통 |
|
고객 데이터 |
허가되지 않는 내부인의 침입으로 인한 기밀성의 상실 |
네트워크에 접근권한을 가진하부계약업체의확인되지않는 서비스 |
없음 |
있음 |
없음 |
낮음 |
|
주요한 생산시설 |
자연재해로 인한 가용성의 상실 |
지진과 폭우 |
기록없음 |
있음 |
간헐적임 |
보통 |
|
기간시설 |
사보타지로 인한 가용성의 상실 |
시위대 |
있음 |
있음 |
빈발 |
높음 |
이러한 평가표는 재산평가 작업표로부터 재산, 원치 않는 사건·사고 등을 나열한 것이다. 조직에 위협을 주는 대항요인은 각각의 원치 않는 사건이나 사고의 이유가 된다. 다음으로 컨설턴트는 원치 않는 사건·사고의 원인을 도출하기 위해서 알려진 대항요인의 의도와 가능성에 대해 분석해야 한다. 더불어 컨설턴트는 원치 않는 사건·사고의 원인이 되는 대항요인의 과거 이력에 대해 상세하게 기록한다. 결과적으로 이 작업표는 효과적으로 조직화되고 기록되며, 차후 완벽한 분석에 통합될 평가정보로 활용된다.
3. 취약성 평가
[컨설팅] 취약성 평가는 전통적인 시큐리티 진단과 유사하다. 이 단계에서 시큐리티 전문가는 특정한 재산이나 원치 않는 사건·사고와 관련된 취약성을 규명하고 특성화한다. 또한 시큐리티 전문가는 적절한 안전대책, 개인적인 행동, 건축기술의 기술적인 문제와 불충분한 안전절차에 기인한 취약한 상황에 대해 조사한다. 전형적인 취약성은 다음의 내용을 포함한다.
① 안전요원의 부재와 같은 물리적인 문제
② 허술한 침입감지 시스템과 같은 기술적 문제
③ 허술한 소프트웨어의 관리와 서비스계약의 검토 부재와 같은 관리적 문제
④ 경영자의 시큐리티에 대한 인식부족과 시큐리티 정책 및 절차와 같은 정책적 문제
|
표3. 취약성 평가표의 예 | ||||
|
재산 |
원치않는 사건 사고 |
취약성 |
현재의 대책 |
취약성의 수준 |
|
중요인물 |
부상이나 사망에 의한 가용성의 상실 |
건물에출입통제장치와중앙경보시스템이 존재하지않으며, 불명확한비상시대책 |
문에 간단한 시건장치와 종합경보 시스템 |
보통 |
|
파일서버 |
정전으로 인한 가용성의 상실 |
광범위한영역에걸쳐있는건물들은여름에 종종강풍과폭우에 피해를입는다. |
축전지 |
보통 |
|
고객데이터 |
허가되지 않는 내부인의 침입으로 인한 기밀성의 상실 |
주요데이터에 접근권한을 가진 확인되지 않은 하부계약업체에 의한 네트워크서비스 |
없음 |
높음 |
|
주요한 생산시설 |
자연재해로 인한 가용성의 상실 |
강화되지않는주요한 건물, 용수와전력라인 도강화되지않음. |
기준에 의한 발전기 시설의 건설 |
중상 |
|
기간시설 |
사보타지로 인한 가용성의 상실 |
파이프라인과같은 기간시설전반에걸쳐 접근통제의미흡,대부분의기간시설에 순찰요원의부족. |
기간시설에 야간 안전요원의 순찰 |
높음 |
따라서 역량 있는 시큐리티 전문가는 시큐리티 시스템이 새롭게 제안되거나 설치될 경우에 서비스 업체가 단독으로 안전한 상태를 구축할 수 있을 것이라고 믿지 말아야 한다. 취약성 조사를 전문으로 하는 독립된 컨설턴트에 의해 제공된 취약성 평가는 기업이 가지고 있는 취약성에 대해 객관적인 정보를 제공하지만 이러한 모든 과정에서 기업의 시큐리티 실무자가 분석평가 전체과정에 참여하는 것이 무엇보다 중요하다.
이 단계에서 시큐리티 전문가는 외부로부터의 잠재적인 위해요인을 기업재산에 대한 내부요인으로 간주해야 하고, 전문가들은 기업재산에 대해 정성적·정량적 분석을 실시하고 “만약 내가 이 시설에 대해 치명적이고 효과적으로 물리적인 피해를 가하려 한다면, 나는 어떻게 할 것이다, 또는 내가 해커라면 어떠한 방법으로 침입하려고 할 것이다”와 같이 침입자의 입장에서 원치 않는 사건·사고와 위협요인의 항목들을 나열해야 한다. 그 다음 기업재산을 침입할 가능성이 있는 위협요인에 대해 분석하고 각각의 취약성을 보완할 수 있는 대책을 수립해야 한다. 결과적으로 이 단계에서 위험 컨설턴트나 시큐리티 전문가는 위협요인에 의해 가장 쉽게 피해를 입을 가능성이 있는 취약성(표 3)을 평가하고, 규명할 능력을 지녀야 한다.
4. 위험평가
위험평가 단계에서는 이전에 평가됐던 모든 사항(재산, 위협, 취약성)이 재산의 집합이나 재산의 위협에 대한 전체적인 그림을 그리기 위해서 데이터가 종합되고 평가되므로 위험관리 공정모델에서 가장 핵심적인 과정이라 할 수 있다.
종합적으로 시큐리티 전문가는 1~3단계의 작업표를 활용해 다음 질문에 대한 체계적인 분석을 통해 개별적인 분류등급을 매겨야 한다.
① 확인된 원하지 않는 사건·사고중 하나에 의해 조직의 재산이 손실되거나 피해를 입었을 경우에 발생 가능한 영향은 무엇인가?
② 위해요인들이 이러한 중요재산에 대하여 가장 발생 가능한 공격방법은 무엇인가?
③ 위해요인들이 중요재산을 목표로 삼아 공격을 할 경우에 가장 취약한 부분은 무엇인가?
이 단계의 목적은 각각의 재산에 대한 위험수준을 도출하기 위해서 어떻게 이러한 각각의 등급들이 상호간에 영향을 미치는가를 평가하는 것이다. 그러므로 위험분석 평가표는 사전에 수집된 정보를 요약해 이러한 모든 정보를 읽기 쉽고 이해할 수 있는 도표로서 정리하는 것이 위험평가에 커다란 도움이 된다. 이를 위해 전문가들은 위험분석표를 활용해 한 가지 재산과 관련된 모든 중요한 요인들을 검토해야 한다. 또한, 어떻게 각각의 요인이 전반적인 위험을 증가시키거나 감소시키게 하는지를 이해하기 위해서 필요한 경우에는 관련된 사전의 작업표와 보충 데이터를 재검토하고 참조하게 된다. 이러한 요인들을 종합적으로 검토한 후에 시큐리티 전문가나 컨설턴트는 기업의 원치 않는 사건·사고에 대해 ‘위험에 직면해’ 어떻게 대응할 것인지 정확히 판단할 수 있게 된다.
|
표 4. 위험 분석표의 예 | ||||||
|
재산 |
원치 않는 사건이나 사고 |
손실의 영향 |
위 협 |
취약성 |
대응책의 선정 |
위 험 |
|
중요인물 |
부상이나 사망에 의한 가용성의 상실 |
높음 |
낮 음 |
보통 |
중앙접근통제와 경보 시스템, 안전요원, 새로운 비상 시 연속계획 |
낮 음 |
|
파일서버 |
정전으로 인한 가용성의 상실 |
중대함 |
보 통 |
보통 |
현장에 발전기 설치, 원격지에서의 사용자 로그 기록을 감시 |
중 하 |
|
고객 데이터 |
허가되지 않는 내부인의 침입으로 인한 기밀성의 상실 |
높음 |
낮 음 |
높음 |
엄격하게 사용자 특권의 통제 |
중 하 |
|
주요한 생산시설 |
자연재해로 인한 가용성의 상실 |
중대함 |
보 통 |
중상 |
중요 건물에 내진설계와 배수시설을 개선하고 현장에 용수저장 |
낮 음 |
또한, 작업표를 상호 교차해 검토한 다음 컨설턴트는 어디에 주요한 취약점과 위협이 존재하는지 알아야 하고, 기업재산의 모든 범위에 걸쳐서 분포하는 위험요인을 비교할 수 있어야 한다. 이러한 관점에서 컨설턴트는 위험요인 중에 즉시 대책을 필요로 하는 분야가 무엇인가 뿐만 아니라 주요한 물리적·관리적·기술적 위험에 대해 다각도로 고려할 수 있어야 한다. 표 4의 등급분류과정에서 사용되는 용어는 대체적으로 정확성이 떨어진다. 그러나 비록 용어상의 등급(낮음, 보통, 높음, 중대함, 기타)이 주관적이고 상호 조합되기가 어려우나, 이렇게 간단하게 표현하는 것이 보는 사람이 더 이해하기 쉬울 것이다. 그러나 더욱 정확한 상황판단이 요구될 경우에는 수치화된 등급으로서 1~10까지의 등급분류가 이용될 수 있다. 이렇게 수치화된 등급은 컨설턴트의 평가과정에서 다른 등급과 같이 조합하거나 겹치게 할 경우에 더욱 편리하게 활용될 수 있다.
다음에 표현된 간단한 방정식은 위험등급이 매겨진 위험요인을 수치화된 시스템에 활용할 수 있도록 그 토대를 제공한다.
위험 = 중요성×(위협×취약성)
이 공식에서 ‘위협×취약성’ 부분은 원치 않는 사건·사고가 발생할 가능성을 나타내고, 조직에서의 재산손실의 중요성은 ‘손실의 영향력’을 나타낸다.
위험수용기관(조직, 재정기관 그리고 조직을 가진 사람이 조직을 대신해 규정된 위험을 줄이거나 보유하거나 다른 곳으로 전환시키는 업무)이 필요로 할 경우에는 단지 재산에 대한 위험평가만 수행할 수 있다. 그러나 대부분의 경우 컨설턴트는 위험수용기관에 두 가지의 대안적인 선택이나 대응책을 권고한다. 이러한 경우에 다음 단계는 위험관리모델에 포함된다.
5. 대응책 선정
대응책을 선정하는 목적은 대응책을 시행할 위험수용기관(기업)이 종합적인 위험관리대책을 바탕으로 기업재산의 전반적인 위험에 대해 기업이 수용할 수 있는 수준으로 낮추는 업무를 가능하게 한다.
이를 위해 시큐리티 전문가는 위험분석표를 활용하면 어떤 취약성에 중점을 둬 다루어야 하는가를 규명할 수 있으며, 특정한 위해요인에 대응할 수 있는 다양한 대책의 효율성을 평가해 가장 비용효과적인 대책을 결정할 수 있다. 위험수용기관에게 제안된 대책들에서 시큐리티 전문가는 기업이 선택할 수 있도록 최소 2가지 이상의 대응책을 제공해야 한다.
여기에서 각각의 대응책 선택은 기대되는 위험의 비용과 총액을 의사결정자가 종합적인 선정과정을 거쳐 수용할 수 있도록 해야 한다.
여기에서 주의해야 할 점은 대응책 A를 선택하는 대신에 대응책 B를 잘못 선택했다면, 예를 들어 비용 삭감 측면에서 선택한 B가 장기적인 측면에서 최상의 선택이 아니게 될 경우이다. 이것은 중요성에 대한 관리평가 수행과정에서 발견될 것이고, 비록 초기에는 A가 비용이 조금 더 들어간다 하더라도 결과적으로 B를 선택하는 것보다 비용을 절감하게 될 것이고, B의 선택은 장기적으로 비용낭비와 중요한 데이터를 잃게 되는 결과를 낳게 된다. 따라서 컨설턴트들은 전략적이고 장기적인 결정이 위험분석업무의 목적을 달성하게 하고 의사결정자에게 조직의 미래에 있어 가장 합리적인 결정을 할 수 있도록 조언해야 한다.
위험관리의 적용
앞서 설명한 위험관리 공정모델은 조직의 위험유형분석에서 단 한번의 ‘스냅사진’과 같은 단기적인 결과를 의도한 것이 아니라 주기적으로 계속되는 과정이다. 이것은 기업경영의 주요한 요소로 뿐만 아니라 기업위험관리에 대한 정보접근으로 포괄해 재산과 위협, 그리고 취약성의 어떠한 변화라도 감지될 경우 지속적으로 주의를 기울여야 한다.
그리고 경영환경에 변화가 생길 경우에 컨설턴트는 이 모델의 처음으로 복귀해 새로운 변화를 수용하고 이에 따른 위험관리 프로세스를 진행, 적절한 대응책을 선정해 권고한다. 지속적인 위험평가는 기업에 일정수준의 위기인식 문화를 만들어 내고, 이러한 분위기는 기업에 있어 위기에 대한 합리적인 판단과 대응책 적용을 위한 투자의 정당성 및 중요성을 부여해준다.
새로운 곳으로부터 새로운 위협이 나타나면, 여기에 상응하는 대책도 새로워져야한다. 위험분석결과는 전통적인 공조직과 같은 Top-down 경영방식에서는 매우 신속하게 전달된다. 그러나 오늘날의 Bottom-up 방식에서는 기업이나 조직의 위험인식 전파가 전통적인 경영방식과 비교해 상대적으로 느리다. 따라서 지속적으로 위험평가 과정을 활용하는 기업은 이러한 새로운 위험을 적시에 적절한 방법으로 관리할 수 있고, 더 오랜 기간동안 위험을 기업이 수용할 수 있는 수준으로 관리하는 것이 가능해진다.
결론적으로 위험관리는 손실발생 가능성이 있는 기업재산이나 재원에 대해 손실의 원인이 되는 위협요인을 결정하고 위험을 감소시키는 대책을 규정함으로서 기업 활동의 위협요인이나 사건·사고의 치명성을 완화시켜 조직의 안전성을 향상시키는 체계적이고 분석적인 업무과정으로서 기업경영자가 관심을 기울려야 할 필수업무이다.
이러한 위험관리는 기업전반의 피할 수 없는 위험을 인정하고, 위험을 감소시킬 수 있도록 잠재적인 위협요인을 관리·통제하고 보호방법을 강화하는 것이다. 이상의 내용에서와 같이 위험관리에 대한 접근은 재산평가, 위협평가, 취약성 평가와 대응책 그리고 계속적인 평가와 같이 몇 가지 요소로서 구성돼 있다.
미국 국회에 소속된 회계감사원(GAO)에서는 성공적인 위험관리조직이 되기 위해서는 최고경영진의 지원과 공정과정에의 동참, 그리고 ‘위기수용조직’의 개념을 활용하고 책임성(accountability)을 확립하기 위한 절차를 만들어야 한다고 강조했다. 이러한 접근법은 미국에서 1980년대 후반부터 연방기관, 정부위원회, 다국적기업에 의해 승인돼 보편적으로 활용되고 있다. 따라서 외국의 다국적기업과 경쟁하고 있는 한국기업들도 이러한 위험관리 공정모델을 활용해 개별 기업에서의 물리적 또는 가상공간에서의 위험을 평가할 수 있어야 하고 적절하게 위험을 관리할 수 있어야 한다. 더불어 조직의 전반적인 위험감소는 효율적이고 비용효과적인 방법으로 성취돼야 한다.
결국 기업들의 중요재산에 대한 안전대책과 취약성 규명 필요성의 증대에 따라 많은 기업들이 물리적·가상적 위협에 대응하고, 재원의 효과적인 투자를 보장하기 위한 메커니즘을 찾는데 노력하고 있으며. 이에 따라 등장한 위험관리 모델 가운데 하나의 방법은 재산, 위협과 취약성뿐만 아니라 지속적인 평가를 통해 각각의 요소의 특징을 통합시키는 것이다.
이러한 방법이 현재상황에서 기업위험관리의 필요성에 부합할 뿐만 아니라 미래의 위험을 평가하는 것을 가능케 한다. 현대 기업에서의 다양한 위험요소는 모든 기업의 존립에 영향을 미치므로 재정적인 조건이나 역량, 그리고 기업의 특성에 적합한 위험평가 기법을 개발하는 일이 중요하다. 이를 통해 현존하거나 미래에 발생 가능한 위험을 관리·통제함으로써 기업의 안전성을 제고하고, 기업이 위기에서 정상적인 경영상태로 신속하게 복귀할 수 있는 능력을 갖춰야 한다.
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>