위기관리의 제도화 - 해킹사고 당한 현대캐피탈, 보안회사 두 곳에 의뢰해
뚫고 막는 경쟁하게 시켜 보안역량 엄청나게 성장
관건은 CEO의 태도 - 최고 책임자 관심 끊기면 내부의 반대 목소리 실종
조직 해체되는 해경처럼 극약처방 받는 순간 맞아
데블스 애드버킷(Devil's Advocate)은 가톨릭의 성인(Saint) 시성(諡聖) 과정에서 창안된 제도이다. 로마 교황청은 매우 엄격하고 세밀한 조사를 거쳐 성인을 시성한다. 잔 다르크는 시성이 되기까지 5세기가 걸렸고 1997년에 돌아가신 테레사 수녀는 아직도 시성 절차가 진행 중이다. 그런데 문제는 성인 후보자는 모두 훌륭한 사람이라 조사자들이 자신도 모르게 우호적 편견을 가질 위험이 있다는 것이다. 그래서 교황청은 시성 조사 과정에 데블스 애드버킷, 이름하여 '악마의 변호인'이라는 역할을 두어 그 위험을 예방하도록 하였다. 데블스 애드버킷은 의무적으로 '악마'의 관점에서 사사건건 의혹을 제기하고 집요하게 공격한다.
1995년 1월 멕시코 외환 위기 당시 로버트 루빈 미국 재무장관은 부도 위기에 몰린 멕시코를 위해 250억달러 지원 여부를 결정하는 토론을 열었다. 루빈은 참석자 중 한 사람에게 주류 의견에 대해 의무적으로 반대 의견을 제시해야 한다는 데블스 애드버킷 역할을 맡겨 지원 프로그램의 부당성을 지적하도록 하였다. 가톨릭 데블스 애드버킷을 국가의 위기관리 시스템에 도입한 것이다.
주류 의견에 대한 반대 목소리는 다양한 경로를 통해 제기된다. 그러나 의사 결정 주체는 대부분 반대 목소리에 대해 방어적이 되기 쉽다. 이 제도의 효용은 바로 여기에서 나타난다. 데블스 애드버킷 제도는, 의사 결정의 주체가 반대 목소리를 내부 의사 결정 시스템 안에, '의도적으로' 제도화하였다는 점에서 큰 의미가 있는 것이다.
현대캐피탈은 2011년 해킹 사고를 당하고 나서 모순(矛盾·창과 방패) 전략을 채택했다. 우리나라 굴지의 정보 보안 회사 두 군데와 계약을 맺은 뒤 한 회사에는 카드사의 보안망을 뚫는 창 역할을, 다른 회사에는 해킹 시도를 차단하는 방패 역할을 부여하였다. 창이 날카로운지 방패가 튼튼한지 겨뤄야만 하는 끝이 없는 전쟁, 이 전쟁에서 진 회사는 CEO로부터 질책을 받을 수밖에 없다. 서로가 일종의 데블스 애드버킷 역할을 하여 상대의 문제점을 끊임없이 지적했던 셈이다. 이를 통해 이 회사의 정보 보안 역량이 엄청난 수준으로 성장한 것은 불문가지다.
작년에 개봉한 브래드 피트 주연의 좀비 재난 영화 '월드워 Z(World War Z)'에는 위기관리에 대한 여러 가지 국가 모델이 등장한다. 그중 이스라엘은 '고문 10명 중 9명이 같은 주장을 펼쳐도 나머지 1명은 어떠한 이유를 찾아서라도 그 의견이 틀렸다고 말해야 한다'는 시스템을 도입한 국가로 묘사됐다.
전 세계가 좀비의 공격을 당할 때 고문 9명은 좀비의 존재를 부정하였으나 '10번째 남자' 1명만은 좀비에 대한 방어를 주장하였고, 그 결과, 이스라엘은 좀비로부터 안전한 독보적인 나라가 될 수 있었다. 비록 영화 속 이야기이지만 다수 의견이나 편견에 매몰되지 않고 항상 '만약'을 대비하는 '10번째 남자', 즉 데블스 애드버킷 제도는 그 시사점이 크다.
위기관리 시스템은 그 자체로 수익을 올리지도, 평소에 성과가 빛나지도 않는 분야일 뿐만 아니라 위기에 대한 인식을 축소하고 은폐하려는 유혹이 상존하는 분야이다. 일례로, 수년 전 미국 정보기관이 컴퓨터 3만8000대에 대해 모의 해킹 실험을 진행하였는데 65%에 해당하는 2만4700대가 뚫렸다. 그러나 해킹을 탐지한 것은 2만4700대의 4%에 불과한 988대였고, 그중 상부에 보고된 것은 모의 해킹 당한 2만4700대의 1%인 267대뿐이었다.
우리는 초대형 재난 사건이 발생할 때마다 극도로 고조됐던 위기관리 의식이 시간이 흘러가면서 점차 둔화되는 현상을 여러 차례 경험했다. 위기관리 분야의 방어적, 보수적, 소극적 속성을 극복하기 위해서는 예산, 조직, 운영 효율 등 현실과 타협할 수밖에 없는 순간에도 '과연 이것이 최선이냐'고 끊임없이 문제를 제기하는 데블스 애드버킷과 같은 장치가 위기관리 시스템 내부에 마련되어 있어야 할 것이다.
그런데 이러한 제도는 최고 책임자가 지속적인 관심을 가지고 주도할 때 비로소 그 기능을 발휘할 수 있다. 현대카드 정태영 사장은 이렇게 말한 적이 있다.
"처음에는 정보 보안 회의에서 제가 모르는 신기한 내용이 많아 재미있었습니다. 하지만 몇 달이 지나자, 늘 동일한 내용이 반복되어 지루해지더군요. 침투 성공 몇 회, 방어 성공 몇 회…. 그러나 저는 매번 이를 악물고 이 회의에 참석합니다. 자칫하면 위기의식이 해이해질 테니까요."
정 사장이 "새로운 내용이 없으니 이제 회의에 참석하지 않겠다"고 선언했다면 어떤 결과가 빚어졌을까? 최고 책임자의 관심이 낮아졌다고 생각되는 순간, 회사의 '데블스 애드버킷'이 여전히 자신의 역할에 충실할 수 있었을지 알 수 없는 일이다.
세월호 사건을 돌이켜 보면 우리 사회에는 늘 이런 데블스 애드버킷이 필요했던 게 아닐까 하는 아쉬움이 든다. 해경이 해체되는 지경의 극약 처방을 해야 하는 대한민국의 위기관리 시스템, 만약 그 시스템 내부에 데블스 애드버킷이 지속적으로 존재했더라면 결과는 다르지 않았을까. 안타까운 심정으로 성찰해본다.