태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

최 선 태 | 한국기업보안연구소(www.security.ne.kr)

대표컨설턴트·이학박사 (info@security.ne.kr)


위험관리의 개념


현대 사회의 어떠한 조직도 위험으로부터 자유로울 수 없듯이, 기업을 경영하는데 위험(리스크)을 동반하지 않는 경우는 존재하지 않는다. 세계화란 말 자체도 기업의 리스크 관리가 기업의 통제권을 이미 벗어났음을 의미하기도 한다. 이러한 위기관리와 위기의식의 중요성에 대해 카를로스 곤(Carlos Gohn) 르노닛산자동차 사장은 위기감을 체계적으로 유지하는 일은 기업경영에서 매우 중요한 요소라고 강조하기도 했다. 특히, 인간은 위기가 눈앞에 닥쳐야 반응하는 인식의 한계로 인해 위기시 적절한 위기관리능력과 평상시 일정수준의 위기의식 공유가 변화에 발 빠르게 대처할 수 있는 오늘날 경영자의 첫 번째 자질로 평가되고 있다.

21세기 세계경제 시스템은 구조화된 변동성으로 특징지어지며, 이러한 새로운 패러다임은 소비자, 기업, 정부가 위기에 적절히 대응하는 것을 어렵게 하고 있다. 또한, 전 세계적으로 테러리즘의 확산과 전쟁, 기상이변과 원인모를 괴질과 같은 전염병의 확산은 21세기를 불확실성의 시대로 몰아넣고 현대인의 불안감 확산을 부채질하고 있다. 기업은 이러한 불확실성에 의한 위기를 타개하기 위해 산업정보의 수집과 분석에 전력투구하고 있다.

기업이 직면한 주요한 위기에는 위험관리의 미흡으로 인한 기업재산손실과 수입 감소, 배상책임, 시장 환경의 급변에 따른 시장의 상실 그리고 인종·국가간 전쟁이나 테러로 인한 다국적기업의 인적·물적 손실 등의 여러 가지가 있으며, 이러한 위험요소들이 급변하는 현대의 기업경영 현실에서 기업의 성패를 가르는 상수가 되고 있다. 이렇듯 예상하기 어렵고 피할 수 없는 위험은 적절하게 관리·통제하는 것이 최선의 방법이다.

지난 2002년 대한상공회의소가 220개 기업을 대상으로 한 조사에서 한국기업의 위기관리 수준은 대부분이 전략적·실천적 위기관리체계가 구축돼 있지 않을 뿐더러 위기관리를 일반적으로 금융위기관리로 인식하는 것으로 초보단계에 머물고 있는 반면에, 외국계 기업은 위기에 대한 사전감지능력 및 정보수집력의 미흡 등을 위기관리의 문제점으로 지적해 초보단계를 지나 이미 선진단계로 진입하고 있는 것으로 나타났다.


위험관리의 제반이론

로우퍼(Carl A. Roper)는 위험관리란 ‘위험을 평가하고 피해자가 수용할 수 있는 수준(acceptable level)까지 위험부담을 줄이기 위한 조치를 강구하며, 이러한 위험수준을 유지하는 것’이라고 했다. 또한, 브로더(James F. Broder)는 위험관리를 ‘어떤 독립적인 실체(entity)가 가지는 잠재적인 손실에 대해 규명하고 어떻게 이러한 잠재적인 손실을 관리할 것인가를 판단하는 과정’이라고 정의했으며, 위험관리의 목표는 손실을 발생할 수 있는 수많은 사건들에 대한 종합적인 관리를 통해 손실이 불가피한 것을 최소한의 비용으로 효과적으로 관리하는 것이라고 설명했다.

이 외에도 헤드(George L. Head)는 위험관리를 ‘가능한 최소한의 비용으로 조직에 미치는 우연한 손해의 불이익한 영향을 최소화하기 위해 조직의 재산 및 활동을 계획·조직·지휘·제어하는 과정’으로 정의했으며, 위험관리 전문가인 지글리오티(Gigliotti)는 위험관리는 ‘일반적으로 인간의 건강과 안전에 대한 위협을 감소시키고, 대중과 기업의 재산 손실을 차단하며 정상적인 조직 또는 기업의 활동에 미치는 영향을 최소화하기 위해서 현재의 운영 환경을 신속하고, 능률적이며, 효과적으로 다룰 수 있는 조직의 능력’이라고 정의하고 있다. 이와 같이 기업이나 조직의 생존을 위해 위험관리는 필수적임을 알 수 있다.


시큐리티 부서의 위험관리

기업 시큐리티 부서의 목적과 책임 중에 가장 중요한 분야 가운데 하나가 기업에 적합한 안전대책을 개발해 적용함으로써 잠재적인 손실분야를 규명하고, 계속적으로 안전관리 임무를 수행하기 위한 연구과정인 위험분석과정이다. 이러한 위험분석과정의 목적은 시큐리티 진단을 토대로 포괄적·통합적으로 기업의 잠재적인 문제점을 규명하는 것이다. 이처럼 기업의 위험관리는 기업의 위험요소를 평가하고 일반적으로 경영진이 수용한 비용한도에서 기업이 수용할 수 있는 수준까지 위험요소를 낮추기 위해 시큐리티 대책을 강구함으로써 일정 수준이하로 위험을 통제·관리하는 것을 의미한다.

위기상황 발생에 대비해 지속적으로 준비한 조직은 그 피해를 최소화할 수 있으나, 임기응변으로 대응한 조직은 피해를 줄이기 힘들게 된다. 그러나 우리나라에서는 열거하기도 어려울 정도로 수많은 자연재해와 인위적 재난들이 지속적으로 발생하고 있으나 여기에 대한 대책은 일시적인 처방에 그침으로서 또 다른 재앙에 무방비한 상태다.

이러한 대책의 한계에는 여러 가지 구조적인 문제들이 숨어 있는데, 1차적으로는 이러한 재난을 효과적으로 관리할 전문가 집단의 부재와 기업의 안전성이 아닌 규모와 성장위주의 경제정책을 들 수 있다. 이러한 전문가 집단의 부재와 성장위주의 정책은 국민전체의 안전의식 결핍으로 나타나 사전에 관리 가능하고 피해를 줄일 수 있는 사건들까지 엄청난 피해로 직결되는 악순환이 계속되고 있다.


위험과 불확실성

시카고학파의 창시자인 미국의 경제학자 나이트(Frank H. Knight)는 위험과 불확실성을 적절히 구분해 새 국면을 개척했다. 위험은 결과를 파악할 수 있으며 그 확률을 측정할 수 있는 반면, 불확실성은 분석을 통해 결과를 파악하기 어렵다. 또한 위험은 보증할 수 있으나 불확실성은 그렇지 못하다. 따라서 나이트는 저서 ‘위험, 불확실성과 이윤(Risk, Uncertainty, and Profit, 1921)’에서 기업의 이윤은 불확실성과의 성공적인 교전을 통해 창출된다고 주장했다.


위험과 위기

위기(crisis)의 어원인 그리스어의 ‘크리나인(krinein)’이라는 말은 분기점의 의미로써 피할 수 없는 갈림길에서 단호한 선택을 해야 하는 고통스럽고, 불확실한 환경을 의미하며, 결정적 변화가 목전에 닥쳐 회피가 불가능한 불안정한 시간 또는 일의 상태를 뜻한다. 즉, 위기관리(Crisis Management)란 피할 수 없는 재해시의 복구 과정에 초점을 둔 부분이고, 위험관리(Risk Management)란 평상시에 행해지는 피해경감(mitigation)에 초점을 둔 것으로,  이 경우에는 피해의 극심한 정도와 그 발생확률을 고려해 가장 합리적인 대책을 결정하는 것이 중요하다. 결론적으로 위험관리는 재해 전에 과거에 발생했던 재해를 통계적으로 분석, 미래의 위험에 대해 최적의 사전예방과 준비를 하는 개념인 반면, 위기관리는 전쟁과 같은 피할 수 없는 재해 시 상황에 따라 대응을 어떻게 할 것인가가 주요 문제로 대두되는 개념이다.



기업위험의 종류

위험은 우리가 생각하는 모든 활동과 관련돼 있으나, 다음에서 언급하는 내용은 기업의 재정적인 손실과 같은 불확실성, 현실과 기대되는 결과와의 변화 정도, 손실이 발생했거나 발생할 가능성이 있는 손실에 대한 위험의 의미로서 제한한다.


① 자연재해(태풍, 폭우와 한발, 혹한과 혹서, 지진과 해일)

② 산업재해(폭발, 화학물질의 누출, 건축물의 붕괴, 화재)

③ 시민소요(사보타지, 근로자 폭동, 폭발위협)

④ 국제적 또는 국내에서의 테러리즘(인종·국가·정파간의 갈등)

⑤ 범죄행위(강도와 절도, 횡령과 사기, 산업스파이, 내부인의 절도, 하이재킹)

⑥ 이익갈등(뇌물, 내부정보의 거래, 비윤리적인 기업관행)

⑦ 핵물질사고(방사능 누출과 같은 원자력 발전시설의 불안전성)


위에서 언급한 위험의 내용을 시큐리티 진단이나 검사를 통해 기업과 명확하게 관련된 위험을 상술하면 대체적으로 다음의 사항을 포함하나 이것이 기업위험의 전부는 아니다.

① 기업 내·외부인에 의한 절도, 주거침입, 사기, 횡령, 반달리즘, 방화, 컴퓨터 범죄, 폭탄위협, 영업비밀의 절도와 산업스파이, 문서위조, 제품위조와 상표권 위반, 강도와 강탈, 납치와 유괴 등의 범죄손실이 기업이나 산업활동을 통해 발생하는 가장 일반적인 범죄위험이다.

② 화물 좀도둑, 제품의 손상과 파괴

③ 비상사태와 재난 시의 기업연속성기획

④ 경영진과 임직원의 법적책임

⑤ 산업안전보건법령에 의거하여 부과된 기업의 환경적인 통제

⑥ 화재, 홍수, 지진, 폭풍, 폭발, 건물붕괴, 위험한 공정으로 기인한 재산의 손실

⑦ 기업체가 법적으로 책임을 지는 모든 활동에서 기인한 손상에 대한 포괄적인 책임

⑧ 기업 활동의 중단과 파생되는 추가적인 비용, 이런 유형의 위험의 평가는 다양한 영역을 아우르는 상세한 연구와 외부 재화와 용역의 공급업체를 통해 얻어진다. 이러한 결과에 따라서 위험을 감소시키기 위한 광범위한 재난계획의 필요성이 제기된다.

⑨ 기업 활동의 실수나 업무태만으로 인한 법적책임

⑩ 제조물책임


위험관리의 목표

① 기업에 있어 현실적인 위협의 평가나 위험수준의 비용에 관련되거나 시큐리티 전략과 연계된 효과적인 체제를 통해 위험관리에 대한 일반적인 접근방법이나 기준을 모든 관계자들에게 제공한다.

② 위험관리에 관련된 원칙과 기본적인 개념을 고객이 이해할 수 있도록 한다.

③ 특정한 기업이나 조직에 유연하게 적용할 수 있는 체계화되고 분석적인 틀을 위험평가나 판단에 적용하도록 지원한다.

④ 특정한 기업의 재산에 대한 잠재적인 손실의 영향력, 위협, 그리고 취약성에 대해 구성원 개개인의 인식을 확대하고 개발한다.

⑤ 손실의 영향, 위협, 취약성의 통합된 평가에 근거해 다양한 안전(시큐리티)에 관한 대응책과 권고사항을 개발한다.

⑥ 기업의 잠재적인 손실의 영향, 위협 그리고 취약성의 관점에서 구성원의 안전의식을 향상시키고 개발한다.

⑦ 손실의 영향, 위협, 취약성 그리고 관련된 재원들에 대한 통합된 평가에 근거해 최고경영진들의 의사결정에 도움이 되는 시큐리티에 관한 권고사항의 판단을 가능케 한다.

이와 같은 목표를 통해 다음의 세부사항을 결정하는 것을 가능케 한다.

① 기업과 시스템의 약점을 규명한다(중요인물 보호, 원료공급 시스템, 정보누설, 네트워크나 주요 시설물 등).

② 고객의 귀중한 재산을 보호하기 위한 비용효과적인 대책 선정과 한정된 재원의 투입에 의한 합리적인 의사결정을 위한 수용 가능한 방법을 제공한다.

③ 위험에 대한 정보교류의 강조와 최종적인 의사결정 부서나 기업에의 권고에 의해 기업 안전 활동의 성공확률을 높인다.

④ ‘얼마 정도의 비용이 안전에 대한 투자로서 적정한가?’에 대해 기업안전실무자와 핵심 의사결정자의 의문에 대한 해답을 얻는데 도움을 준다.

⑤ 모든 조직의 시큐리티 업무에는 손실을 방지하기 위해 투입되는 비용(input)에 따른 얻어지는 성과(output) 사이의 의사결정자가 수용 가능한 균형(trade-offs)이 이루어지도록 의사결정의 근거를 제시한다.


앞서 내용들은 다양한 위협요인 전반에 걸쳐서 이러한 평가를 어떻게 검토할 것인가에 대한 지침을 제공함으로서 위험평가 또는 안전에 관해 재검토를 고려하는데 관리자에게 도움을 줄 것이며, 기업의 잠재적 리스크 관리를 위한 다음의 위험평가와 관리 모델은 잠재적인 위협에 적절한 대응을 가능하게 할 것이다.


위험평가 절차


먼저 기업의 위험평가 분석을 하기 전에 사전준비에 상당한 시간이 요구된다. 외부 컨설팅의 경우 컨설턴트들은 분석과정에서 의뢰인이 어떠한 압박감을 느끼는지를 규명하고 업무의 목표와 핵심을 결정하기 위해서 반드시 의뢰인(재산 소유자)과 간단한 인터뷰나 브리핑을 실시해야 한다. 왜냐하면 재산 소유자는 기업에서 자신 재산의 위험성 여부나 그의 재산이 어디에 무엇이 분포하는지를 가장 잘 알고 있기 때문이다.

또한, 컨설턴트는 주주들의 주요한 관심들을 인지하고 그들의 목표를 고려해야 할 것이다. 왜냐하면 주주들은 그들 재산의 보호를 경영진이나 기업에 귀속시키기 때문이다.

시큐리티 진단의 결과를 토대로 컨설턴트는 ①재산평가 ②위협평가 ③취약성평가 ④위험평가 ⑤대응책 선정 등 위험관리공정 5단계에 따라 위험평가를 실시한다. 5단계를 보다 구체적으로 설명하면 다음과 같다.

① 재산평가 단계에서 컨설턴트는 기업의 임무와 운영에 필수적인 중요재산(인적, 물적, 지적)이 무엇인가를 규정하고 수치화하는데 중점을 둔다.

② 위협평가 단계에서는 규명된 중요한 재산에 위협을 미치는 외부적인 요인(경쟁기업, 범죄분석, 협력업체, 해커, 산업스파이 등)을 규명하는데 초점을 맞춘다.

③ 취약성평가 단계에서는 보호대상인 특정재산이나 원치 않는 사건ㆍ사고와 관련된 내부 취약성(기업 시큐리티 정책이나 절차, 구성원의 의식과 부정행위, 안전요원과 출입통제 시스템 등)을 규명하고 특성화한다.

④ 위험평가 단계에서 컨설턴트는 1~3단계의 결과표(재산/위협/취약성)를 활용해 첫째, 확인된 원하지 않는 사건이나 사고중의 하나에 의해 구체적으로 재산이 손실되거나 피해를 입었을 경우에 발생 가능한 영향은 무엇인가? 둘째, 위해요인들이 이러한 확인된 재산에 대해 공격시 가장 있음직한 방법은 무엇인가? 셋째, 위해요인들이 확인된 재산을 목표로 삼아 공격할 경우에 발생 가능한 가장 취약한 부분은 무엇인가? 등의 질문에 대한 체계적인 분석을 통해 개별적인 분류의 등급을 매긴다.

⑤ 마지막 대응책 수립단계에서는 위험분석표를 활용해 해당기업의 재산에 대한 전반적인 위험을 수용 가능한 수준까지 낮추는 방안으로써, 특정한 위해요인에 적용되는 가능한 대응책에 대한 효율성 평가에 의해 가장 비용효과적인 결정을 함으로써 해당기업의 의사결정권자에게 대책을 제안하는 단계다. 이 때, 컨설턴트는 선택사항으로서 최소한 2가지 대책을 제공해 의사결정자가 기대되는 위험비용과 대책의 효과를 선택할 수 있도록 한다.


이러한 위험관리 5단계 공정은 기업에게 다음의 사항을 가능케 한다.

① 기업에서 보호가 필요한 중대한 재산이 무엇인가를 결정하게 한다.

② 중대한 재산에 위협이 되는 다양한 유형을 알 수가 있다.

③ 특정한 위협요인과 관련된 구체적인 취약성에 대한 고려가 가능하다.

④ 계속적인 기업운영을 통해 원치 않는 사고의 결과나 영향에 대해 알 수가 있다.

⑤ 원치 않는 특정한 사고와 관련된 상대적인 위험의 수준을 미리 예상·견적할 수 있다.

⑥ 이미 발생했던 원치 않는 사고와 유사한 사고를 줄일 수 있고, 위험을 완화시키는 활동이나 대응책들을 세울 수 있다.

⑦ 다양한 기업위험 대응전략의 비용효과에 대해 분석이 가능하다.

⑧ 최고경영진이나 기업 고객들에게 현재의 위험분석결과나 대응책 선정 및 권고사항에 대해 전달할 수 있는 전략을 수립할 수 있게 한다.


이와 같이 위험관리공정에서는 보다 신중한 판단과 다양한 위험관리 지식습득을 위해 5단계의 분석적 방법론을 통한 시스템적인 접근이 필요하다.


1. 재산평가

재산평가 단계에서 시큐리티 전문가(재산소유자의 대리인과 함께)는 조직의 임무와 운영에 있어 중요한 재산이 무엇인가를 규명하는데 중점을 둔다. 이러한 재산 규명과 우선순위의 결정에 따라 조직에서는 가장 중요한 그들의 재원에 중점을 두는 첫 번째 단계를 수행한다.

이러한 대부분의 중요재산들은 크게 유형(사람, 시설, 장비 등)과 무형(정보, 공정, 평판 등)재산으로 구성된다. 오늘날 기본적인 기업운영에서는 정보나 자동화된 공정인 무형의 재산이 유형의 재산보다 더 중요하다. 따라서 조직에서는 원재료와 생산된 제품이나 각종 장비와 같은 물리적 재산이나 공정과 더불어 조직의 기능과 구성원에 관한 정보를 포함한 중요한 재산적 정보를 보호하는 것이 필수적이다.

표 1. 재산평가 작업표의 예

재산

원치 않는 사건이나 사고

손실 평가

중요 인물

부상이나 사망에 의한 가용성의 상실

높음

파일 서버

정전으로 인한 가용성의 상실

중대함

고객 데이터

허가되지 않는 내부인의 침입으로

인한 기밀성의 상실

높음

주요한 생산시설

자연재해로 인한 가용성의 상실

중대함

기간시설

사보타지로 인한 가용성의 상실

중간

이러한 각각의 개별적인 재산을 보호하기 위해서는 조직에서 보유하고 있는 재산의 파괴나 손상, 그리고 손실의 영향과 원치 않은 사건의 유형을 규명해야 한다. 이러한 재산의 모든 가치는 위험성의 영향에 달려있다.

표 1은 재산평가의 결과를 기록하는데 사용되며, 재산평가는 다음의 3가지 단계가 여기에 근거해 진행되므로 위험관리 분석과정에서 가장 중요한 단계다.


2. 위협평가

위협평가 단계에서 시큐리티 전문가는 이전에 규명된 재산에 부정적인 영향을 미치는 경쟁자나 사건에 초점을 맞춘다. 여기에서 컨설턴트나 시큐리티 전문가는 반드시 연구나 인터뷰를 통해 얻어진 정보나 신뢰할 만한 데이터를 가지고 판단해야 하며, 자신의 직관적인 지식은 배제해야 한다.

또한, 위협은 기업경영의 주요한 장애물로 반드시 고려되어야 할 사항이다. 이러한 장애물들의 일반적인 유형은 범죄, 경쟁기업, 해커, 외국정보기관, 테러리스트 등이 포함된다. 장애물들의 위협이 어떠한가에 대해 판단하기 위해서 컨설턴트 혹은 시큐리티 전문가들은 위협요인들이 원치 않은 사건의 원인이 되는 의도나 가능성, 그리고 1단계에서 규명된 재산의 유형에 대항하는 성공적인 공격의 과거 이력(증명된 현재까지의 실적)에 대해 반드시 고려해야 한다. 앞에서 언급했듯이 기업의 핵심적인 정보와 자동화된 공정은 더욱 중요하게 고려돼야 한다.

더불어 재연재해와 사고 등과 같은 유형은 의도된 것이 아니더라도 위협요인으로 취급되어야 하고, 가상공간에서의 사건들(예 : 바이러스와 서비스부정 공격) 또한 독립적인 위협요인으로 취급되어야 하며, 인터넷에 연결된 중요한 네트워크를 가진 어떠한 조직이든지 반드시 대규모 네트워크 환경에서의 사건에 대해 경계해야 한다. 또한, 정치적인 동기로 격렬한 소요가 발생할 경우에, 이러한 소요 중에 개별적인 조직의 합류에 관계없이 물리적으로나 사이버상의 수단으로 네트워크 기반구조에 대한 공격이 가해질 수 있다고 예상할 수 있으므로 이에 대해 대비해야 한다. 이러한 소요 집단들은 종종 민간이 운영하고 있는 것과는 관계없이 공익설비(수도, 전기, 가스, 대중교통 등)를 정부의 한 부분으로 간주하고 파괴한다.

이 밖에 세계화의 상징으로 다국적기업이나 은행도 공격대상이 된다. 미국은 거대한 지구촌에 걸쳐있는 다민족 국가이나 세계화를 명분으로 전 세계 자본을 좌우하는 역할을 하는 미국 기업체들은 수많은 이유를 갖다댄 무차별 공격으로 인해 어려움을 겪고 있다.

이렇듯 다양한 위협요인의 데이터를 체계화하기 위한 효과적인 방법은 위협평가표(표 2)를 활용하는 것이다.

표2. 위협평가작업표의예

재산

원치않는사건이나사고

위협요인

의도-    

가능성  

이력

위협의 수준  

중요인물

부상이나사망에의한

가용성의상실

범죄자나 테러리스트

있음

있음

드문

낮음

파일서버

정전으로 인한 가용성의 상실

건축물의 주변

기록없음

있음

인근에 존재  

보통

고객 데이터

허가되지 않는 내부인의 침입으로 인한 기밀성의 상실

네트워크에 접근권한을 가진하부계약업체의확인되지않는 서비스

없음

있음

없음

낮음

주요한 생산시설

자연재해로 인한 가용성의 상실

지진과 폭우

기록없음

있음

간헐적임

보통

기간시설

사보타지로 인한 가용성의 상실

시위대

있음

있음

빈발

높음


이러한 평가표는 재산평가 작업표로부터 재산, 원치 않는 사건·사고 등을 나열한 것이다. 조직에 위협을 주는 대항요인은 각각의 원치 않는 사건이나 사고의 이유가 된다. 다음으로 컨설턴트는 원치 않는 사건·사고의 원인을 도출하기 위해서 알려진 대항요인의 의도와 가능성에 대해 분석해야 한다. 더불어 컨설턴트는 원치 않는 사건·사고의 원인이 되는 대항요인의 과거 이력에 대해 상세하게 기록한다. 결과적으로 이 작업표는 효과적으로 조직화되고 기록되며, 차후 완벽한 분석에 통합될 평가정보로 활용된다. 

3. 취약성 평가

[컨설팅] 취약성 평가는 전통적인 시큐리티 진단과 유사하다. 이 단계에서 시큐리티 전문가는 특정한 재산이나 원치 않는 사건·사고와 관련된 취약성을 규명하고 특성화한다. 또한 시큐리티 전문가는 적절한 안전대책, 개인적인 행동, 건축기술의 기술적인 문제와 불충분한 안전절차에 기인한 취약한 상황에 대해 조사한다. 전형적인 취약성은 다음의 내용을 포함한다.

① 안전요원의 부재와 같은 물리적인 문제

② 허술한 침입감지 시스템과 같은 기술적 문제

③ 허술한 소프트웨어의 관리와 서비스계약의 검토 부재와 같은 관리적 문제

④ 경영자의 시큐리티에 대한 인식부족과 시큐리티 정책 및 절차와 같은 정책적 문제

표3. 취약성 평가표의 예

재산

원치않는 사건 사고

취약성

현재의 대책

취약성의 수준

중요인물

부상이나 사망에 의한 가용성의 상실

건물에출입통제장치와중앙경보시스템이 존재하지않으며, 불명확한비상시대책

문에 간단한 시건장치와 종합경보 시스템

보통

파일서버

정전으로 인한 가용성의 상실

광범위한영역에걸쳐있는건물들은여름에 종종강풍과폭우에 피해를입는다.

축전지

보통

고객데이터

허가되지 않는 내부인의 침입으로 인한 기밀성의 상실

주요데이터에 접근권한을 가진 확인되지 않은 하부계약업체에 의한 네트워크서비스

없음

높음

주요한 생산시설

자연재해로 인한 가용성의 상실

강화되지않는주요한 건물, 용수와전력라인 도강화되지않음.

기준에 의한 발전기 시설의 건설

중상

기간시설

사보타지로 인한 가용성의 상실

파이프라인과같은 기간시설전반에걸쳐 접근통제의미흡,대부분의기간시설에 순찰요원의부족.

기간시설에 야간 안전요원의 순찰

높음

따라서 역량 있는 시큐리티 전문가는 시큐리티 시스템이 새롭게 제안되거나 설치될 경우에 서비스 업체가 단독으로 안전한 상태를 구축할 수 있을 것이라고 믿지 말아야 한다. 취약성 조사를 전문으로 하는 독립된 컨설턴트에 의해 제공된 취약성 평가는 기업이 가지고 있는 취약성에 대해 객관적인 정보를 제공하지만 이러한 모든 과정에서 기업의 시큐리티 실무자가 분석평가 전체과정에 참여하는 것이 무엇보다 중요하다.

이 단계에서 시큐리티 전문가는 외부로부터의 잠재적인 위해요인을 기업재산에 대한 내부요인으로 간주해야 하고, 전문가들은 기업재산에 대해 정성적·정량적 분석을 실시하고 “만약 내가 이 시설에 대해 치명적이고 효과적으로 물리적인 피해를 가하려 한다면, 나는 어떻게 할 것이다, 또는 내가 해커라면 어떠한 방법으로 침입하려고 할 것이다”와 같이 침입자의 입장에서 원치 않는 사건·사고와 위협요인의 항목들을 나열해야 한다. 그 다음 기업재산을 침입할 가능성이 있는 위협요인에 대해 분석하고 각각의 취약성을 보완할 수 있는 대책을 수립해야 한다. 결과적으로 이 단계에서 위험 컨설턴트나 시큐리티 전문가는 위협요인에 의해 가장 쉽게 피해를 입을 가능성이 있는 취약성(표 3)을 평가하고, 규명할 능력을 지녀야 한다.



4. 위험평가

위험평가 단계에서는 이전에 평가됐던 모든 사항(재산, 위협, 취약성)이 재산의 집합이나 재산의 위협에 대한 전체적인 그림을 그리기 위해서 데이터가 종합되고 평가되므로 위험관리 공정모델에서 가장 핵심적인 과정이라 할 수 있다.

종합적으로 시큐리티 전문가는 1~3단계의 작업표를 활용해 다음 질문에 대한 체계적인 분석을 통해 개별적인 분류등급을 매겨야 한다.

① 확인된 원하지 않는 사건·사고중 하나에 의해 조직의 재산이 손실되거나 피해를 입었을 경우에 발생 가능한 영향은 무엇인가?

② 위해요인들이 이러한 중요재산에 대하여 가장 발생 가능한 공격방법은 무엇인가?

③ 위해요인들이 중요재산을 목표로 삼아 공격을 할 경우에 가장 취약한 부분은 무엇인가?

이 단계의 목적은 각각의 재산에 대한 위험수준을 도출하기 위해서 어떻게 이러한 각각의 등급들이 상호간에 영향을 미치는가를 평가하는 것이다. 그러므로 위험분석 평가표는 사전에 수집된 정보를 요약해 이러한 모든 정보를 읽기 쉽고 이해할 수 있는 도표로서 정리하는 것이 위험평가에 커다란 도움이 된다. 이를 위해 전문가들은 위험분석표를 활용해 한 가지 재산과 관련된 모든 중요한 요인들을 검토해야 한다. 또한, 어떻게 각각의 요인이 전반적인 위험을 증가시키거나 감소시키게 하는지를 이해하기 위해서 필요한 경우에는 관련된 사전의 작업표와 보충 데이터를 재검토하고 참조하게 된다. 이러한 요인들을 종합적으로 검토한 후에 시큐리티 전문가나 컨설턴트는 기업의 원치 않는 사건·사고에 대해 ‘위험에 직면해’ 어떻게 대응할 것인지 정확히 판단할 수 있게 된다.



표 4. 위험 분석표의 예

재산

원치 않는 사건이나 사고

손실의 영향

위 협

취약성

대응책의 선정

위 험

중요인물

부상이나 사망에 의한 가용성의 상실

높음

낮 음

보통

중앙접근통제와 경보 시스템, 안전요원, 새로운 비상 시 연속계획

낮 음

파일서버

정전으로 인한 가용성의 상실

중대함

보 통

보통

현장에 발전기 설치, 원격지에서의 사용자 로그 기록을 감시

중 하

고객 데이터

허가되지 않는 내부인의 침입으로 인한 기밀성의 상실

높음

낮 음

높음

엄격하게 사용자 특권의 통제

중 하

주요한 생산시설

자연재해로 인한 가용성의 상실

중대함

보 통

중상

중요 건물에 내진설계와 배수시설을 개선하고 현장에 용수저장

낮 음


또한, 작업표를 상호 교차해 검토한 다음 컨설턴트는 어디에 주요한 취약점과 위협이 존재하는지 알아야 하고, 기업재산의 모든 범위에 걸쳐서 분포하는 위험요인을 비교할 수 있어야 한다. 이러한 관점에서 컨설턴트는 위험요인 중에 즉시 대책을 필요로 하는 분야가 무엇인가 뿐만 아니라 주요한 물리적·관리적·기술적 위험에 대해 다각도로 고려할 수 있어야 한다. 표 4의 등급분류과정에서 사용되는 용어는 대체적으로 정확성이 떨어진다. 그러나 비록 용어상의 등급(낮음, 보통, 높음, 중대함, 기타)이 주관적이고 상호 조합되기가 어려우나, 이렇게 간단하게 표현하는 것이 보는 사람이 더 이해하기 쉬울 것이다. 그러나 더욱 정확한 상황판단이 요구될 경우에는 수치화된 등급으로서 1~10까지의 등급분류가 이용될 수 있다. 이렇게 수치화된 등급은 컨설턴트의 평가과정에서 다른 등급과 같이 조합하거나 겹치게 할 경우에 더욱 편리하게 활용될 수 있다.

다음에 표현된 간단한 방정식은 위험등급이 매겨진 위험요인을 수치화된 시스템에 활용할 수 있도록 그 토대를 제공한다.

위험 = 중요성×(위협×취약성)


이 공식에서 ‘위협×취약성’ 부분은 원치 않는 사건·사고가 발생할 가능성을 나타내고, 조직에서의 재산손실의 중요성은 ‘손실의 영향력’을 나타낸다.

위험수용기관(조직, 재정기관 그리고 조직을 가진 사람이 조직을 대신해 규정된 위험을 줄이거나 보유하거나 다른 곳으로 전환시키는 업무)이 필요로 할 경우에는 단지 재산에 대한 위험평가만 수행할 수 있다. 그러나 대부분의 경우 컨설턴트는 위험수용기관에 두 가지의 대안적인 선택이나 대응책을 권고한다. 이러한 경우에 다음 단계는 위험관리모델에 포함된다.  


5. 대응책 선정

대응책을 선정하는 목적은 대응책을 시행할 위험수용기관(기업)이 종합적인 위험관리대책을 바탕으로 기업재산의 전반적인 위험에 대해 기업이 수용할 수 있는 수준으로 낮추는 업무를 가능하게 한다.

이를 위해 시큐리티 전문가는 위험분석표를 활용하면 어떤 취약성에 중점을 둬 다루어야 하는가를 규명할 수 있으며, 특정한 위해요인에 대응할 수 있는 다양한 대책의 효율성을 평가해 가장 비용효과적인 대책을 결정할 수 있다. 위험수용기관에게 제안된 대책들에서 시큐리티 전문가는 기업이 선택할 수 있도록 최소 2가지 이상의 대응책을 제공해야 한다.

여기에서 각각의 대응책 선택은 기대되는 위험의 비용과 총액을 의사결정자가 종합적인 선정과정을 거쳐 수용할 수 있도록 해야 한다.

여기에서 주의해야 할 점은 대응책 A를 선택하는 대신에 대응책 B를 잘못 선택했다면, 예를 들어 비용 삭감 측면에서 선택한 B가 장기적인 측면에서 최상의 선택이 아니게 될 경우이다. 이것은 중요성에 대한 관리평가 수행과정에서 발견될 것이고, 비록 초기에는 A가 비용이 조금 더 들어간다 하더라도 결과적으로 B를 선택하는 것보다 비용을 절감하게 될 것이고, B의 선택은 장기적으로 비용낭비와 중요한 데이터를 잃게 되는 결과를 낳게 된다. 따라서 컨설턴트들은 전략적이고 장기적인 결정이 위험분석업무의 목적을 달성하게 하고 의사결정자에게 조직의 미래에 있어 가장 합리적인 결정을 할 수 있도록 조언해야 한다.


위험관리의 적용


앞서 설명한 위험관리 공정모델은 조직의 위험유형분석에서 단 한번의 ‘스냅사진’과 같은 단기적인 결과를 의도한 것이 아니라 주기적으로 계속되는 과정이다. 이것은 기업경영의 주요한 요소로 뿐만 아니라 기업위험관리에 대한 정보접근으로 포괄해 재산과 위협, 그리고 취약성의 어떠한 변화라도 감지될 경우 지속적으로 주의를 기울여야 한다.

그리고 경영환경에 변화가 생길 경우에 컨설턴트는 이 모델의 처음으로 복귀해 새로운 변화를 수용하고 이에 따른 위험관리 프로세스를 진행, 적절한 대응책을 선정해 권고한다. 지속적인 위험평가는 기업에 일정수준의 위기인식 문화를 만들어 내고, 이러한 분위기는 기업에 있어 위기에 대한 합리적인 판단과 대응책 적용을 위한 투자의 정당성 및 중요성을 부여해준다.

새로운 곳으로부터 새로운 위협이 나타나면, 여기에 상응하는 대책도 새로워져야한다. 위험분석결과는 전통적인 공조직과 같은 Top-down 경영방식에서는 매우 신속하게 전달된다. 그러나 오늘날의 Bottom-up 방식에서는 기업이나 조직의 위험인식 전파가 전통적인 경영방식과 비교해 상대적으로 느리다. 따라서 지속적으로 위험평가 과정을 활용하는 기업은 이러한 새로운 위험을 적시에 적절한 방법으로 관리할 수 있고, 더 오랜 기간동안 위험을 기업이 수용할 수 있는 수준으로 관리하는 것이 가능해진다.

결론적으로 위험관리는 손실발생 가능성이 있는 기업재산이나 재원에 대해 손실의 원인이 되는 위협요인을 결정하고 위험을 감소시키는 대책을 규정함으로서 기업 활동의 위협요인이나 사건·사고의 치명성을 완화시켜 조직의 안전성을 향상시키는 체계적이고 분석적인 업무과정으로서 기업경영자가 관심을 기울려야 할 필수업무이다.

이러한 위험관리는 기업전반의 피할 수 없는 위험을 인정하고, 위험을 감소시킬 수 있도록 잠재적인 위협요인을 관리·통제하고 보호방법을 강화하는 것이다. 이상의 내용에서와 같이 위험관리에 대한 접근은 재산평가, 위협평가, 취약성 평가와 대응책 그리고 계속적인 평가와 같이 몇 가지 요소로서 구성돼 있다.

미국 국회에 소속된 회계감사원(GAO)에서는 성공적인 위험관리조직이 되기 위해서는 최고경영진의 지원과 공정과정에의 동참, 그리고 ‘위기수용조직’의 개념을 활용하고 책임성(accountability)을 확립하기 위한 절차를 만들어야 한다고 강조했다. 이러한 접근법은 미국에서 1980년대 후반부터 연방기관, 정부위원회, 다국적기업에 의해 승인돼 보편적으로 활용되고 있다. 따라서 외국의 다국적기업과 경쟁하고 있는 한국기업들도 이러한 위험관리 공정모델을 활용해 개별 기업에서의 물리적 또는 가상공간에서의 위험을 평가할 수 있어야 하고 적절하게 위험을 관리할 수 있어야 한다. 더불어 조직의 전반적인 위험감소는 효율적이고 비용효과적인 방법으로 성취돼야 한다.

결국 기업들의 중요재산에 대한 안전대책과 취약성 규명 필요성의 증대에 따라 많은 기업들이 물리적·가상적 위협에 대응하고, 재원의 효과적인 투자를 보장하기 위한 메커니즘을 찾는데 노력하고 있으며. 이에 따라 등장한 위험관리 모델 가운데 하나의 방법은 재산, 위협과 취약성뿐만 아니라 지속적인 평가를 통해 각각의 요소의 특징을 통합시키는 것이다.

이러한 방법이 현재상황에서 기업위험관리의 필요성에 부합할 뿐만 아니라 미래의 위험을 평가하는 것을 가능케 한다. 현대 기업에서의 다양한 위험요소는 모든 기업의 존립에 영향을 미치므로 재정적인 조건이나 역량, 그리고 기업의 특성에 적합한 위험평가 기법을 개발하는 일이 중요하다. 이를 통해 현존하거나 미래에 발생 가능한 위험을 관리·통제함으로써 기업의 안전성을 제고하고, 기업이 위기에서 정상적인 경영상태로 신속하게 복귀할 수 있는 능력을 갖춰야 한다.

       <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>


프로젝트 매니저가 뛰어난 사람인지 아닌지를 알아볼 수 있는 방법에는 여러가지가 있을 것이다.
그중 하나가, 이 양반이 위험관리를 하는 사람인가를 살펴보는 것이다.
위험관리를 하고 있다면, PM내공이 상당함을 인정해도 된다고 본다.

위험관리가 무엇이고 왜 중요하고 하는 것은 회사생활 5년차 넘으면 알긴 알 것이다.
근데 정말 알까?
최근, 부장/차장 급들이 신경써서 만들었다는 RR모델(Risk/Return Model)을 보고 사람들이 위험에 대한 개념이 없는 경우가 제법 있다고 느꼈다. (지금 나는 이 바닥에서 20년 이상 묵은 사람들이 위험의 정의를 잘못내리고 있다는 건방진 말을 하고 있는 것이다.)
이에 대한 자세한 내용은 다음 포스트(http://yjhyjh.egloos.com/279741)에서 다루기로 하고, 먼저 실전에서 사용해야 하는 위험관리에 대해 쭉 한번 살펴보겠다.
(일부는 PMBOK의 내용보다 깊이가 있을 수도 있으므로, 다소 난해한 설명이 되더라도 너그러이 이해를 바라면서...)

< 위험의 정의 >
먼저 위험(Risk, 리스크)의 정의는 다음과 같다.

  • 원치 않는 결과를 초래하게 될 발생 가능한 미래의 사건
이쯤에서 위험(Risk)와 이슈(Issue)의 차이점을 먼저 짚어보자.
이 둘의 정의를 정리하면 Figure 1과 같다.
< Figure 1 >

요컨대, Risk는 아직 발생하지 않은 확률적 사건이고, Issue는 발생해서 프로젝트의 발목을 잡고 있는 문제점이다.
결국, Risk가 발현하면 Issue가 된다고도 할 수 있다.
이것이 리스크관리와 이슈관리를 종종 혼동하는 이유이기도 하다.

< 위험관리의 정의 >
이러한 리스크(Risk)는 관리되어야 한다.
위험관리 또는 리스크관리에 대한 정의는 다음과 같다.
  • Risk가 추상적인 상태에서, 문제로 되기 전(이슈화 되기 전)에 대응책을 생각해 내는 과정이다.
  • A disciplined and systematic method of managing risk is necessary and feasible to control the quality, cost, and schedule of software products [CMU/SEI]

< 위험 발생 통제 : Trigger >
위험관리의 핵심은 아직 발생하지 않은 (확률적으로 발생 가능한) 위험을 어떻게 관리할 것이나의 것이다.
우리는 이를 위해 발생하기 전에 발생을 예고하는 조짐을 관찰하고 통제해야 한다.
위험이 발현될 것임을 알려주는 신호를 Risk 전이 경계지표(Trigger)라고 한다.
즉, Trigger는 Risk가 현실화되는 촉발점이다.
우리는 Risk 각각에 대해 한 개 이상의 Trigger를 설정하고, 항상 감시해야 한다.
구르는 공은 뛰어오는 아이보다 앞서 나타난다라는 격언을 떠올려보면, 무슨 말인지 쉽게 이해갈 것이다.


< 위험관리가 필요한 이유 >
프로젝트는 다음과 같은 특징을 가진다.
  • 프로젝트에서 만드는 산출물 중에 변하지 않는 산출물은 없다.
  • 프로젝트에서 존재하는 불확실성은 제거할 수 없다.
  • 변경을 통제하는 것보다, 변경의 종류/규모/빈도를 예측하는 것이 더 효과적이다.
  • 동일한 프로젝트는 없다.
  • 정확한 일정계획 및 비용계획을 수립할 수 없다.
  • 대부분의 프로젝트는 일정/원가/품질을 모두 만족시키기 어려운 조건으로 진행된다.
불확실성이 있는 곳에는 언제나 Risk가 있다.
이러한 Risk에 대해 “모르겠다”라는 대답을 하는 것보다는, 불확실성 정도를 이해하는 것이 문제에 대응할 수 있는 실마리를 제공한다.
프로젝트는 항상 불확실성에 시달리므로 위험관리가 꼭 필요하다.
위에 언급한 위험관리가 필요한 이유를 도식화 하면 Figure 2와 같다.

< Figure 2 >

< 위험관리 프로세스 >
PMBOK에서 제안하는 위험관리 표준 프로세스를 조금 수정하여 내가 사용하고 있는 프로세스는 Figure 3과 같다.
< Figure 3 >
  • Risk Management Planning (위험 관리 계획 수립)
  • Risk Identification (위험 인지/확인)
  • Risk Analysis (위험 분석)
  • Risk Response Planning (위험 완화전략 수립)
  • Risk Monitoring & Control (위험 모니터링)

< 위험 정량분석 >
위험은 불확실성으로 인한 잠재적 문제점이다.
그러므로 위험은 확률모델로 정량화되게 된다.
기본적인 위험 분석에 사용될 수 있는 툴은 Risk Rating Matrix Analysis 이다.
이것은 마치 정량화 분석처럼 보이지만, 사실은 이를 흉내낸 정성적 분석이다. 물론, 이것은 정량화의 시작점이 되기 때문에 의미가 있다.
Risk Rating Matrix Analysis에서는 Figure 4와 같은 방식으로 발생가능성과 영향력을 평가해서 각 Risk의 우선순위를 결정한다.

< Figure 4 >
Risk Rating Matrix Analysis를 통해 위험의 발현으로 인한 영향력을 예상할 수 있으며, 각 위험의 우선순위를 파악할 수 있다.

하지만, 진정한 위험관리의 꽃은 리스크 다이어그램(Risk Diagram)이다.
리스크 다이어그램은 특정항목에 대해 불확실성을 확률기반 다이어그램으로 나타낸 것이다.
이것은 특정항목의 목표달성이 정확히 얼마나 불확실 할까를 통계적으로 파악하여 위험을 가늠하는 것이다.
Figure 5와 같은 모양으로 나타나는 리스크 다이어그램의 특징은 다음과 같다.
  • 모든 확률의 합이 1이 되도록 수직축 값의 크기를 결정한다.
  • 정규분포에서 고성과쪽으로 군집하는 모양을 보인다.
  • Continuous Probability Distributions
< Figure 5 >

Figure 5는 일정에 대한 리스크 다이어그램이다.
이에 대한 해석을 짧게 정리하면 아래와 같다.
  • 그래프의 X축은 날짜를 나타내며, 그래프의 면적은 해당날짜에 완료할 수 있을 확률이다.
  • 여기서 극소-확률 일자(Nano-Percent Date)는 곡선과 수평축이 만나는 지점의 확률이 0이 아닌 첫번째 날짜로써, 해당 날짜에 완료가능성이 발생하기 시작하는 지점이다. N지점에서는 아직 완료할 수 있을 가능성이 0%이다.
  • N지점 보다 나중 일자가 되면 조금씩 완료가능성이 높아진다. 점선으로 표시된 지점의 날짜에 프로젝트가 완료될 확률은 약 30%쯤 된다.
  • X축과 맞닿는 지점 이후로 완료일자를 잡으면, 과제가 제때 끝날 가능성은 100%에 육박한다. (물론, 이렇게 너그러운 완료일정을 주는 프로젝트는 전혀 없을 것이다.)
  • 모든 일정 리스크는 다음과 같은 원인에 기인한다. : 실제 완료 일정 < 목표 일정 < N
    현실에서 대부분의 프로젝트는 N을 완료일자로 잡아서 일정준수에 실패한다.

이와 같은 리스크 다이어그램은 어떻게 그리는 것일까?
바로 몬테카를로 시뮬레이션을 이용해서 그린다. (이전포스트 "몬테카를로 시뮬레이션 (Monte-Carlo Simulation)" 참조)

리스크 다이어그램의 불확정구간의 크기는 조직의 개발 프로세스에 얼마나 많은 노이즈(noise)가 포함되는지에 따라 결정되는 것이다. (Worse case penalty, Most likely case penalty, Best case penalty로 산정하는 것도 한 방법이다.)
프로세스 노이즈는 과거의 Risk가 프로젝트에 미친 영향에 대한 정량화를 통해 나오는 결과다. 즉, 과거의 성과가 불확정구간의 크기를 결정하는 것이다.

리스크 다이어그램의 분석법 및 응용에 대해서는 더 많은 내용이 있다.
이것은 톰 디마르코와 티모시 리스터의 '소프트웨어 프로젝트에서의 리스크 관리'를 읽어서 습득할 것을 권한다.

어제의 문제는 오늘의 Risk이다.
프로젝트의 문제는 반복해서 발생하는 경향이 있어서, 대여섯 개의 프로젝트만 분석해보면 어느정도 충분한 데이터를 얻을 수 있다. 우리는 지속적으로 축적된 프로젝트 Lessons Learned와 위험관리 노하우의 갱신을 통해서 Risk관리 수준을 높일 수 있다.


< 결언 >
위험은 불확실성으로 인한 잠재적 문제점이라는 점을 명심해야 한다.
그러므로, 위험을 말할때는 반드시 확률을 떠올릴 수 있어야한다.
그리고, 위험관리를 말할 때는 항상 리스크 다이어그램을 떠올려야 한다.
많은 사람들이 이슈(issue), 제약(constraint)과 위험(Risk)를 혼동하여, 위험관리를 제대로 못하곤 한다.
아직가지 위험관리를 한다고 말하면서 확률모델을 다루지 않았다면, 그대는 엉뚱한 것을 하느라고 위험관리를 못했다고 보면 된다. (무엇인가는 했을 것일테니까... 늘 그렇듯이...)
심지어 PMP 획득을 위해, 열심히 공부하는 PMBOK에서도 위험을 확률모델로 이해하려는 시도는 약한 것 같다.
위험관리에 대해서는 PMBOK만 보는 것으로는 부족하다. 좀 더 많은 위험관리 전문가의 서적을 읽어볼 것을 권한다.

프로젝트 관리에서 위험관리는 프로젝트의 불확실성 요소를 통제하려고 하는 확률모델적 접근임을 이 글을 읽는 독자라도 꼭 이해해 줬으면 한다.


<연관 포스트 소개>
다음 포스트에서는 Risk/Return Model (일명 R-R Chart)를 언급하면서 우리회사의 관리자들이 위험을 어떻게 잘못 이해하고 적용했는가를 설명하겠다.
또 다른 포스트에서는 크리티컬 패스(Criticla Path)와 위험관리(Risk Management)의 연관성을 설명한다.

by 딸기우유 | 2006-08-21 16:45