위기 관리 : 위기에 대한 준비, Business Continuity Planning

BCP.docx

미 무역센터 테러 직후, 선진 기업들이 보여준 재해복구 및 위기관리능력은 우리에게 많은 시사점을 안겨준다. 불의의 사태에 대비한 치밀한 계획과 철저한 준비, 그리고 체계적인 대응으로 피해를 최소화할 수 있었던 것이다. 다양한 위기관리 사례들과 위기상황을 극복하는 Business Continuity Planning에 대해 알아본다.
 
2001년 9월 11일, 세계 경제와 금융의 중심지였던 월드트레이드센터가 테러로 인해 전몰되는 사건이 발생하였다. 전문가들은 이 사건으로 인해 국제 경제 및 경영환경이 크게 변화될 것이라고 예측하였다. 무엇보다 경제 성장률의 둔화와 실업의 증가 등 불황의 가능성이 조심스럽게 제시되고 있다. EIU(Economist Intelligence Unit)는 이번 테러사건의 영향으로 금년도 전세계 GDP 성장률이 1.7%에서 1.5%로 낮아질 것이고 미국 내 실업률이 4.5%에서 4.9%로 증가하게 될 것이라고 전망하고 있다.  
 
또한 이번 테러사건은 여러 산업부문에도 악재로 작용하여 사고 직후, 다우존스 산업지수가 7% 하락하는 등 대부분의 주가지수가 동시에 폭락했다. 이번 테러 사건의 가장 큰 피해자는 항공업계였다. 국제항공교통협회(IATA)의 발표에 따르면 전세계 항공사들은 테러가 발생했던 한 주 동안만 100억 달러의 영업손실이 발생하는 등 올해 사상 최대의 적자에 직면하게 될 것이고 항공업계에서만 10만 여명이 감원될 것으로 예상된다고 한다. 보험업계의 경우도 천문학적인 규모의 보상금 때문에 직접적인 타격을 피할 수 없었으며, 기계, 자동차, 에너지, 유통 등 여러 산업에서도 소비심리의 위축으로 인한 불황의 조짐이 보이고 있다.  
 
물론 이번 사건이 모든 산업에 어두운 그림자를 드리운 것만은 아니었다. 통신, 시스템 보안, 군수산업 등의 경우에는 테러사건 및 아프가니스탄-미국의 전쟁으로 인해 유례없는 호황을 누리고 있다고 한다. 
 
 
선진기업의 뛰어난 위기관리능력 
 
우리는 지난 몇 달간 이번 사건의 발생 및 파급효과 등에 대한 다양한 뉴스와 정보들을 접할 수 있었다. 그 중에서도 특히 간과할 수 없는 부분은, 예기치 못했던 재해를 맞이하여 선진 기업들이 보여준 위기대응 및 관리능력이라 할 수 있겠다. 물론 이번 사건으로 많은 인명과 재산피해가 발생했지만 무엇보다 우리를 걱정케 했던 것은 월드트레이드센터(WTC)가 국제 무역과 금융의 중심지 였다는 사실이었다. 세계 유수의 금융기관과 각종 거래소 들이 입주해 있었던 만큼, 이번 사건은 미국 경제, 나아가 세계 경제를 혼란으로 몰아가기에 충분한 것이었다. 그러나 결과는 우리가 걱정했던 것과는 달랐다.  
 
WTC에 입주해 있던 뉴욕 선물거래소가 사건이 발생한지 4일만에 정상적인 영업을 재개하는 등 미국의 경제 및 금융 시스템은 신속하게 복구되었다.  
 
물론 이러한 결과가 단지 운이 좋았기 때문만은 아니었다. 그 이면에는 불의의 사태에 대비한 체계적인 계획과 준비가 있었고 이로 인해 최악의 사태를 피할 수 있었던 것이다. 뉴욕 선물거래소는 7년 전, WTC에서 폭탄테러사건이 있은 이후부터 비상계획 및 위기관리 활동을 위해 매년 30만 달러의 비용을 투입해 왔으며, 만일의 사태에 대비하여 재해복구서비스 기업과 계약을 맺고서 맨해튼 인근의 롱 아일랜드에 비상 사무공간과 별도의 컴퓨터 시스템 등을 관리해 왔었다고 한다.  
 
American Express Bank 역시 테러사건이 발생하자, 준비되어 있던 뉴저지의 지하벙커로 관련 기능 및 인력을 이동시키고 전세계에 연결되어 있는 금융네트워크를 신속하게 복구하였다. 비록 이 과정에서 한시간 정도의 지연사태가 발생했지만, WTC에 있던 사무공간이 소실된 직후 12시간 동안에도 19,000개의 계약을 처리할 수 있었다. 이는 143억 달러 규모로 평소 업무의 70% 수준이었다.  
 
이처럼 별도의 IT시스템과 업무공간을 확보해 두는 것이 많은 비용과 노력을 필요로 함은 분명하다. 그러나 불의의 재해로 컴퓨터 시스템이 소실되어 온라인 거래가 불가능해진 증권회사를 상상해보라. 거래불능으로 인한 직접적인 손실 뿐만 아니라 고객들에 대한 피해보상 부담까지 가중되어 존립까지 위협받는 결과를 가져올 수도 있을 것이다. 실제로 비상 사무공간을 준비하려는 노력은 많은 기업들에게 전파되고 있으며 독일의 Dresdner Bank와 캐나다의 Royal Bank of Canada 등도 재해복구서비스 기업과 계약을 맺고 비상시를 대비한 예비 사무공간을 임차하여 제 2의 IT시스템을 구축하고 있는 실정이다. 
 
 
데이터 백업 시스템과 주요 기능의 분산 
 
모든 기업에게 마찬가지이겠지만, 특히 금융기업에게 있어서 전산데이터의 중요성은 더 강조할 필요가 없을 것이다. 월스트리트에서는 전산데이터를 종종 강철금고 속에 보관하는 귀금속에 비유하곤 한다. 이러한 중요성 때문에 미국에서는 은행, 증권사 등과 같은 금융기관들이 모든 거래 관련 데이터를 백업하여 별도 보관하는 것이 법으로 규정되어 있으며, 지난 10여년간 미국의 금융산업은 EMC나 Comdisco등과 같은 IT 솔루션 회사를 통해 원격지 실시간 백업시스템을 운영해왔다. 뉴욕 증권거래소나 선물거래소가 WTC 테러사건이 발생한지 4일만에 업무를 재개할 수 있었던 것도 원격지 백업시스템을 통해 모든 데이터를 보관해왔었기 때문에 가능했던 일이었다.  
 
그러나 업무상 중요한 정보 및 문서들을 전산화하지 않고 보관해온 몇몇 회사의 경우는 상당한 피해를 입을 수밖에 없었다. WTC에 입주해 있던 법률회사 중 하나인 Thacher Proffitt & Wood는 이번 테러사건으로 진행중인 법률 소송 자료를 포함한, 대부분의 자료들을 소실했다고 한다. 만약 광학 스캐너 등과 같은 디지털 영상장비를 활용하여 정보 및 자료들을 별도로 보관해 왔다면 이러한 피해는 어느 정도 예방할 수 있었을 것이다. 
 
주요 기능 및 업무 시설들을 여러 지역에 분산시켜 운영했었던 것도 월스트리트의 금융기업들이 신속하게 정상업무에 복귀하는데 큰 도움이 되었던 것으로 알려졌다. Morgan Stanley의 Retail Brokerage는 WTC에 입주해 있었지만 Head Quarter는 맨해튼 중부에, Trust-Service Division은 뉴저지에 분산되어 있었기에 모든 기능이 동시에 마비되는 결과를 방지할 수 있었던 것이다. 물론 기업들이 그 기능과 부서들을 지리적으로 분산하여 배치하는 데는 여러 가지 이유가 있겠지만 위기관리의 차원에서도 그 필요성을 찾을 수 있을 것이다. “Don’t put all your eggs in a basket.(모든 달걀을 한 바구니에 담지 말라.)”라는 미국의 속담은 이번 사건의 교훈을 잘 표현하고 있다고 해도 좋을 것이다. 
 
 
인적자원의 안전과 비상 대피 계획 
 
세계적인 Bond brokerage기업인 Cantor Fitzgerald의 경우 1,000명의 직원 중 700여명의 직원들이 붕괴된 건물에서 탈출하지 못한 것으로 알려졌으며 Bank of America, Sun Micro-systems, Xerox 등 WTC에 입주해 있던 대부분의 기업들이 이번 테러 사건으로 적지 않은 인명피해를 경험해야 했다.  
 
그러나 이와는 반대로 효과적인 비상대피 계획을 통해 인명피해를 최소화할 수 있었던 경우도 찾아볼 수 있었다.  
 
Morgan Stanley Dean Witter는 WTC에서 가장 많은 층을 사용하고 있었으며 3,700여명의 직원들이 상주하고 있었다. 이 회사의 철저한 비상 대피계획은 테러사건으로 인한 인명피해를 최소화하는데 가장 큰 공헌을 한 것으로 알려졌다. 이 회사의 안전책임자는 WTC 남쪽 타워에 대한 1차 테러 직후, 평소 준비된 비상 대피계획에 따라 모든 직원들을 신속하게 대피시켰고, 그 결과 6명의 실종자를 제외한 모든 직원이 무사할 수 있었다고 한다. 뉴욕선물거래소의 경우도 비상대피계획에 따라 260명의 직원 전원을 무사하게 대피시킬 수 있었으며, 일본계 금융기업인 미즈호의 경우는 화재 등의 사건 발생에 대비하여 가스마스크 및 조명기구 등의 개인별 emergency kit까지 상비하고 있었다고 한다. 
 
이러한 사례들에서 볼 수 있듯이, 많은 기업들이 오래 전부터 화재, 테러 등에 대비하여 대피 및 복구 훈련을 실시하는 등 예기치 못한 위기상황에 효과적으로 대응하기 위한 체계적인 계획을 수립, 시행해오고 있었던 것이다. 
 
 
불확실성과 위험, 그리고 Business Continuity Planning 
 
기업은 비즈니스 프로세스 상에서 수많은 불확실성과 위험에 노출되어 있다. 이러한 여러 가지 위험 요인들 중에서 폭우, 화재, 지진, 테러, 전쟁, 사이버범죄 등과 같은 재해 및 사고에 의한 위험은 비록 그 발생빈도는 낮지만 직접적인 충격 및 그 파급효과가 매우 크기때문에 결코 간과할 수 없는 부분이다.  
 
최근 Gartner Group에서 발표한 연구결과는 테러 및 전쟁 등과 같은 대형 재난사건을 겪은 경우, 40%의 기업들이 5년 이내에 파산하게 될 가능성이 매우 높다고 지적하고 있다. 미국 미네소타 대학에서도 이와 유사한 연구결과를 발표하였는데, 재난 및 사고로 인해 기업의 주요 IT시스템이 파괴될 경우, 금융업의 경우 2일, 유통업은 3.3일, 제조업은 5일 이상 시스템의 복구가 지연된다면 그 중 25%는 즉시 파산하며, 40%는 2년 내 파산할 것이라고 한다. 이러한 연구 결과들은 기업에게 있어서 신속하고 효과적으로 위기에 대처하는 능력이 얼마나 중요한 것인가를 시사하고 있다.  
 
예기치 못한 사건이 발생하여 생산이나 영업 등과 같은 경영 프로세스를 지속하는 데 장애가 생길 경우에 대비한 계획 및 준비 등을 통틀어 사업 복구 및 재개 계획(Business Continuity Plan,이하 BCP)이라고 한다. <표 1>에서는 BCP의 구성요소들을 보여주고 있는데 전반적인 위기관리를 기반으로하여 재해극복, 사업복구 및 재개, 비상대응계획 등을 포함하는 복합적인 형태를 취하고 있다. 
 
지금까지 재해나 각종 사고에 대한 기업의 대응 방식은 주로 사후적인 복구에만 초점을 맞추어져 왔던 것이 사실이다. 그러나 이러한 방식으로는 더 이상 기업에게 발생할 수 있는 여러 가지 재난과 사고 등에 효과적으로 대응할 수 없으며, 위기상황을 맞아 조직을 효과적으로 통제하고 피해를 최소화하여, 기업을 위기상황에서 구해줄 수 있는 체계적인 프로세스, 즉 Business Continuity Plan이 필요한 것이다.  
 
 
성공적인 BCP를 위한 6가지 요소 
 
BCP의 궁극적인 목적은 분명하다. 경영환경의 급격한 변화나 각종재해 등과 같은 잠재적 위험과 그 수준을 파악하고 위기상황에 대한 대응 전략을 설정함으로써, 어떠한 상황에서도 사업의 계속성을 확보하여 기업의 주요자산과 수익창출능력을 보호하고 경제적 손실을 최소화하는 동시에, 고객과 시장 등 다양한 이해관계자의 신뢰를 확보, 유지하는 것이라 할 수 있겠다. 그렇다면 이러한 목적을 달성할 수 있는 성공적인 BCP는 어떻게 계획되고 또 만들어져야 하는 것일까? 물론 동일한 BCP가 모든 위기상황에 대해 적용될 수는 없겠지만, 일반적으로 고려해야 할 요소들을 살펴보면 다음과 같다. 
 
1. BCP의 대상 설정 
 
어떠한 위험에 대해 BCP를 추진할 것인지 결정하여야 한다. 발생 가능한 모든 위기상황들에 대해 계획을 수립할 수는 없으며 동일한 사건이라도 기업 형태와 상황에 따라 그 충격은 다를 것이기 때문에 BCP의 대상과 BCP를 실행해야 하는 “위기발생 시점(Trigger point)”을 명확히 해야 할 필요가 있는 것이다. 자연재해뿐만 아니라 법률소송, 적대적 M&A, 노동분규, 채권의 만기도래 등도 사업의 계속성을 저해하는 심각한 위기상황을 초래할 수 있으며 여러 가지 위험으로 인한 최악의 사태에 대해서도 생각해 보아야 한다.  
 
2. 직접, 간접 효과의 분석 
 
발생 가능한 위기상황의 빈도와 심각성을 고려하여 이에 대한 대응전략을 마련하는 것이 BCP의 주요 활동인 만큼, Business Impact Analysis를 통해 각각의 위기상황으로 인한 파급효과를 분석하는 것은 매우 중요하다. 이를 통해 발생 가능한 위험이 비즈니스의 핵심 요소 또는 프로세스에 미치는 부정적인 결과는 어떤 것이며 이를 최소화할 수 있는 방법은 무엇인지 파악할 수 있게 된다. 또한 분석과정에서 위기상황으로 인해 발생할 수 있는 직접적인 손실뿐만 아니라, 매출의 감소, 영업비용의 증가, 경쟁우위의 감소, 주주들의 손해배상 소송, 기업의 장래에 대한 언론의 부정적인 보도 등의 간접적인 손실도 반드시 고려되어야 한다. 
 
3. 기업 전략과의 일관성 및 outsourcing 
 
BCP는 기업의 현재 경영전략과 부합해야 하며 이와 동시에 경제적으로 실행 가능해야 한다. 
 
따라서 BCP를 추진하는 과정에서 어떠한 기능들을 조직 내부에 위치하게 하고 어떤 기능을 outsourcing할 것인가를 결정해야 한다. 기업 스스로가 잠재적인 위험에 대해 모든 준비를 담당할 수는 없으며 경우에 따라서는 BCP의 일부 또는 BCP 전체를 Outsourcing 하는 편이 더 효과적일 수 도 있다. IBM, Comdisco, Sun-Gard Data System, Guardian IT 등은 IT 시스템에 대하여 전문적인 데이터 백업 서비스 및 재해복구 솔루션을 제공하고 있다.  
 
4. 전사적인 공유와 참여 
 
BCP는 기업과 모든 구성원들이 극도의 혼란을 맞게 되었을 때 실행하도록 만들어진 것인 만큼, 기업의 모든 구성원들이 쉽게 이해하고 공유할 수 있도록 단순하게 만들어져야 한다. 복잡한 BCP의 경우 모든 구성원들이 공유하는데 문제가 생길 수 있으며, 최악의 경우 계획대로 작동하지 않을 수도 있다.  
 
또한 모든 구성원들이 위기상황에서 자신의 책임은 무엇이고 이를 수행하기 위해 어떠한 자원을 사용해야 하는지, 그리고 어떤 프로세스에 따라 움직여야 하는지 숙지하고 있어야 함은 물론이다. 예컨대, Amazon.com의 Safety Awareness Program은 의료, 가스, 화재관리 등과 같은 개인별 경력이나 기술들을 고려하여 비상시의 개인별 역할과 책임을 설정하는 등 모든 구성원들의 개인적 특기와 능력을 고려하여 설계되었다고 한다. 
 
5. 반복적인 훈련, 그리고 Feedback 
 
무엇보다 중요한 것은 BCP를 지속적으로 테스트, 평가, 개선하는 것이다. BCP의 성과는 실제 상황에 적용해 보기 이전에는 정확하게 알 수 없으며, 구성원 및 이해관계의 변화, 기술 및 경영환경의 변화, 본질적인 시장 상황의 변화 등에 따라 기존 계획의 유효성도 떨어지게 마련이다.  
 
따라서 정기적인 모의 훈련을 실시하고 그 성과를 평가하여 부족한 점을 보완, 개선하는 것이 반드시 필요하다. IT시스템에 대한 BCP를 추진하고 있는 미국의 MIT대학에서는 분기별로 환경변화를 BCP에 반영시킬 뿐만 아니라, 매년 위기상황에 대한 모의 훈련을 실시하고 그 성과를 평가하여 BCP를 개선하고 있다. 
 
6. 기업 대외 홍보 및 Media Communication 전략 
 
기업이 예기치 못한 위기에 직면했을 경우, 그에 대한 대응방안이 잘 준비되어 있으며 위기를 극복할 수 있는 자신을 갖고 있다는 것을 대외, 대내적으로 보여주는 것이 필요하다. 뉴스나 각종 미디어의 부정적인 추측보도로 인해 주요 고객들을 잃을 수도 있으며 시장에서 조성된 불신은 기업 가치의 급감으로 이어지기 때문이다. 위기상황 일수록 주요 이해관계자 및 시장으로부터의 신뢰를 확보, 유지하기 위한 대외적인 홍보 및 communication의 중요성은 더욱 커지게 마련이다.  
 
 
위기에 준비된 기업, Bulletproof Firm  
 
다른 경영 프로세스에서와 마찬가지로, 효과적이고 체계적인 BCP를 구축하기 위해서는 기업 내 다양한 부분에서의 지원과 참여가 반드시 필요하다. 경영자, 관리자, 사원들 모두가 기업의 장기적인 안전과 성공을 위한 BCP의 주요 요소와 프로세스들을 인식하고 적극적으로 참여할 때 만이 기업의 존립을 위협하는 어떠한 상황도 극복할 수 있는, 위기에 준비된 기업이 될 수 있을 것이다.  
 
사실 BCP의 도입과정에서 가장 어려운 부분이 Top Management의 적극적인 지원을 얻어내는 것이라고 하겠다. 일어나지 않을 수도 있는 사고에 대비하기 위해 적지 않은 비용을 지출하는 것이 어떤 의미에서는 이해가 되지 않을 수도 있다. 사실 지진, 화재, 테러 등과 같은 재해가 발생할 가능성이 얼마나 되겠는가? 적지 않은 비용과 낮은 사용가능성 또한 기업들로 하여금 BCP의 도입을 주저하게 하고 있는 것이다.  
 
그러나 반대로 생각하면 언젠가 일어날 수도 있는 사태에 대비하는 것이라고 볼 수도 있지 않는가? BCP의 필요성에 대해서는 이미 많은 기업들이 공감하고 있는 만큼 어떠한 위험에 대해, 어느 정도의 수준으로 이를 도입하고 활용할 지를 결정하는 것만이 우리에게 남겨진 과제라고 생각된다.  
 
지난 2월, 빌게이츠가 마이크로 소프트의 새로운 운영체제인 Windows XP를 소개하기 위해 Seattle의 한 호텔에서 연설하던 중, 지진이 발생하였다. 천정의 샹들리에가 흔들리고 타일이 떨어져, 모든 사람들이 탈출구를 찾는 혼란 속에서도 빌게이츠는 동요하지 않고 천천히 연단을 내려왔다. 공포를 느꼈냐는 질문에 그는 단호하고 자신있게 “No”라고 대답했으며 위기의 순간에서 그가 보여준 것은 위기에 대비하는 기업만이 누릴 수 있는 특권, 즉 기업과 자신의 안전에 대한 확신이었다

 

LGeri.com 김종호