Premium > 운영/재무
해킹사고, 누가 책임져야 할까?
2016-06-02 | 장재웅 에디터

우리는 사회적으로 큰 이슈가 된 사건이나 사고가 터졌을 때 ‘사태에 책임을 지고 자리에서 물러나겠다’는 류의 이야기를 종종 듣습니다. 보통 사퇴를 통해 책임을 다하겠다는 의도로 풀이되지만 사실 사퇴가 궁극적인 해결책이 아닌 경우가 많습니다. HBR 7-8월호는 케이스 스터디로 ‘해킹사고, 누가 책임져야할까?’라는 내용을 다뤘습니다. 오스틴에 본사를 둔 가상의 모바일 결제회사 심플페이에서 해킹 사건이 발생합니다. 해커들이 심플페이의 서버를 공격한 건데요. 다행히 고객의 개인정보 중 이메일 주소정도만이 외부로 유출됐지만 고객들은 심플페이에 실망하고 심플페이 이용객은 급감합니다. 이 회사 CEO인 제이크 산티니는 홍보 책임자 미셸 페레즈, 최고정보책임자 제시 글래드스톤와 함께 4주동안 사태 해결에 집중합니다. 심플페이는 42시간 동안 시스템을 닫고 피해를 입은 1000만 명의 고객에게 사고를 통보한 후 공개 사과문을 발표하는 등 사태 해결에 노력을 기울입니다. 그러나 한 번 심플페이에 실망한 고객들은 쉽게 마음을 돌리지 않죠. 결국 이사회는 해킹 공격 수습에 희생양을 요구합니다. 누군가는 책임을 지고 사퇴하는 모습을 보여야 고객들의 마음을 돌릴 수 있다고 제이크를 압박한 건데요. 심플페이가 해킹 사건을 얼마나 심각하게 받아들이고 있는지 보여주기 위해 공개적인 제스처를 취해야 한다는 것이 이사회의 생각이었던 것입니다. 제이크는 반발합니다. 그는 “누굴 해고하고 나면 모든 문제가 해결됩니까?”라고 이사회 의장인 칼리에게 반문합니다. 상당히 용기 있는 리더의 모습이 아닐 수 없습니다. 그러나 이사회의 생각은 확고합니다. 결국 제이크는 자신이 물러나는 방식을 선택합니다. 문제가 발생했을 때 리더가 책임을 지고 사퇴하는 장면은 우리에게 그리 낯선 장면은 아닙니다. 그러나 한번쯤은 이런 고민을 할 필요가 있어 보입니다. 과연 사퇴가 궁극적인 해결책인가? 이 케이스를 두고 전문가들도 의견이 갈립니다. 마스터카드 프로세싱의 부사장인 캐리 호렌펠트는 제이크의 사퇴에 부정적입니다. 그는 제이크의 해임이 두가지 측면에서 역효과를 낼 수 있다고 경고합니다. 먼저, 제이크의 해임이 궁극적으로 문제 해결에 핵심이 아니라는 점입니다. 이사회는 회사 내부의 희생양을 제물 삼아 해킹 공격을 떨쳐내고 싶어 하지만 결국 이런 방식은 사고의 원인은 무엇이고 시스템을 앞으로 어떻게 개선해야 하는지에 대한 해결책이 아니라는 점에서 의미가 없다고 주장합니다. 그는 또 제이크의 사퇴가 회사 외부 고객들에게 회사가 이번 사건을 심각하게 받아들이고 있다는 사인이 될 수 있는 가능성도 있지만 오히려 사퇴를 강요하는 행위가 심플페이의 명성에 득보다 해가 될 가능성도 있다는 점을 주목했습니다. 임원 한 명이 물러나면서 회사가 해킹 사고에서 벗어나 다시 일어서고 있다는 메시지가 오히려 약화될 수도 있다는 주장입니다. 반면, 사퇴는 어쩔 수 없는 선택이라는 주장도 있습니다. 카니나 밸랜차드 오퍼튜니티 크리에이션 대표는 “제이크가 임무를 제대로 수행하지 못해 작은 사이버 공격이 회사의 미래를 위협할 만큼 큰 문제로 발전했기 때문에 그는 자신의 행동에 책임을 져야 하고 그것은 아마도 사임을 의미할 것이다”라고 주장합니다. ^^ 사고가 발생했을 때 희생양으로 삼을 누군가가 필요한지에 대해서는 여전히 이견이 있습니다만 한 가지 확실한 점은 사고가 발생했을 때 고객이나 주주들의 관심은 누가 희생양이 되냐가 아니라 어떻게 이런 일이 재발하지 않도록 노력할 것이냐는 점입니다. 국내에서 있었던 해킹 사고와 이에 따른 두 기업의 대응이 좋은 참고 사례가 될 수 있을 것 같습니다. 2011년 A사와 B사가 같은 시기에 해킹 공격을 당합니다. A사는 당시 모든 전산망이 갑자기 마비됐고 B사는 175만명에 달하는 고객 정보를 해킹 당했습니다. 두 회사 모두 해킹 사고로 큰 혼란을 겪었지만 양사의 대응에서는 큰 차이가 났습니다. B사는 사건 발생 당시 노르웨이 출장 중이던 대표이사가 즉시 귀국해 기자회견을 열고 직접 해킹 사건에 대한 사과문과 함께 상황 수습 방안, 재발 방지 노력 등을 자세히 밝혔습니다. 그러나 A사는 사건 발생 3일이 지나서야 기자회견을 열고 CEO가 준비해 온 사과문을 낭독하는 데 그쳤습니다. 결국 두 회사는 비슷한 사고를 당했지만 경영진의 대응력 차이에 따라 이후의 평가는 극명하게 달라집니다. 결국 사고 발생시 가장 중요한 것은 책임을 전가할 대상을 찾는 것이 아니라 회사가 불의의 사고에도 불구하고 모두가 힘을 합쳐 재발 방지에 힘을 쓰고 있다는 사인을 고객 및 주요 투자자들에게 보내는 것입니다. 그러기 위해서는 사고 발생 초기부터 사고와 관련된 모든 정보를 투명하게 공개하고 주요 이해당사자들과 자주 소통해야 합니다. 해킹사고 자체를 원천전으로 막을 수는 없지만 어떻게 대응하냐는 우리의 의지와 노력에 달린 문제입니다. 위기관리에서 커뮤니케이션이 결정적인 역할을 한다는 점을 잊어서는 안되겠습니다. 감사합니다.

내용 모두 펼치기
HBR Premium은 유료 서비스입니다.
10인의 디렉터가 쉽게 설명해주는 HBR Premium!
HBR Premium을 구독하고 디지털 서비스까지 이용하세요!
프리미엄신청
장재웅 동아일보 기자
관련 아티클