개인정보 유출과 위기관리

최근 신용카드사에서 고객 개인정보가 유출되는 일이 발생했다. 소비자나 금융권은 물론 나라가 온통 뒤집어졌다.  위기관리에 실패한 대표적인 케이스다.
중소기업 경영자에겐 이번 사태가 먼 나라 일처럼 보일 수 있다. 고객 개인정보를 다룰 일이 아예 없거나, 설혹 있더라도 보안 시스템을 강화할 여력이 없을 수 있다. 사실 주요 대기업조차 사이버 범죄를 탐지하고 방지할 수 있는 인력과 시스템을 제대로 갖추지 못하고 있는 게 현실이다. 보안기업 시스코에 따르면 사이버 보안 위협은 2000년 이후 최고 수준이지만, 인력은 세계적으로 100만명이나 부족하다.
중소기업에게 위기관리 리스크 매니지먼트(Risk Management)는 거창한 주제처럼 느껴질 수 있다. 하지만 위기관리는 사실 우리가 일상에서 매일 직면하고 실행하는 일이다. 출퇴근 길이나 출장 경로를 정할 때에도 무의식적으로 위기관리가 동원되고 있다. 경제적 비용, 사고 가능성, 교통체증 등은 위험요소이고, 우리는 이들 정보를 바탕으로 루트를 마련한다.
위기를 관리한다는 건 크게 두 가지 활동을 의미한다. 첫째는 위기를 예방하는 것이다. 예컨대, 신용카드사에서 고객 정보 유출을 막기 위해 IT 보안 시스템을 마련하는 것이 위기 예방이다. 이번 개인정보유출 사고는 바로 위기 예방에 실패한 사례다. 또한 일부 중소기업 경영자로서는 현실상 도입하기 어려운 경영활동이기도 하다.
그렇지만 재정적인 여력이나 전담 인력이 없다 하더라도, 중소기업이 할 수 있는 위기관리는 분명히 있다. 바로 위기 대응, 즉 사후 대책을 마련하고 시행하는 일이다. 일이 터진 다음 어떻게 수습하느냐에 따라 사태는 완전히 달라질 수 있다. 대응에 성공하면 위기는 기회가 될 수 있다. 하지만 실패하면 사태는 걷잡을 수 없이 커진다. 위기관리를 다룬 ‘제국의 몰락’(김구철 저, 2013)에 따르면, 위기(Risk) 예방에 실패해 비상 사태(Emergency)가 발생했을 때, 초동 대응이 잘못되면 위기(Crisis)가 온다. 그리고 수습에 연이어 실패하면 재난(Disaster)과 파국(Catastrophe)에 이른다. 가래로 막을 수 있었던 일이 서까래로도 못 막게 되는 것이다.
이번 카드사 정보유출 사태만 해도 그렇다. 유출 이후 관계자 대응이 부적절했다. 처음정보 유출 사고를 발견했을 때, 카드사는 사과문을 발표했다. 하지만 원론적 사과에 그칠 뿐 사고경위나 대책에 대한 설명이 없었다. 금융당국도 태스크 포스를 구성해 사고 대책을 마련했지만, 예전과 크게 다를 게 없는 땜질식 처방에 급급했다. 여론은 급속하게 악화됐다. 해당 카드사 경영진도 사퇴 의사를 밝혔지만, 세간의 반응은 싸늘했다.
이 와중에 현오석 경제부총리 겸 기획재정부 장관이 말실수를 더했다. 국민에게 책임을 전가하는 듯한 발언을 몇 차례 했다. 이는 가뜩이나 성난 민심을 들끓게 만들었다. 현 부총리는 결국 머리 숙여 사과를 해야 했다.
이번 카드사 개인정보 유출사태가 위기 예방과 대응 모두에 실패한 사례라면, 지난 2011년 현대캐피탈 해킹 사태는 위기에 어떻게 대응해야 하는지를 보여준 모범 사례다. 정태영 현대캐피탈 사장은 사건 발생 직후 해외출장지에서 즉시 귀국해 기자회견을 열고, 사과와 함께 정보 유출 상황, 수습 방안, 재발 방지 노력 등에 대해 상세하게 밝혔다. 이후 시시각각으로 사건 전개를 피해자와 언론에 밝히며 진정성을 보여줬다.
덕분에 현대캐피탈은 소비자 울분을 어느 정도 가라앉히고 동정표를 얻는 뜻밖의 수확을 거둘 수 있었다. 결국 중소기업에서도 정보유출 위기가 터지고 나서 어떻게 대처를 하느냐가 제2의 경영위기로 전이되는 단초를 차단하는 일이 될 것이다.

- 글 : 차병선(FORTUNE KOREA 기자)