현대캐피탈과 농협 고객정보유출 케이스 : Guilty Victim vs Pure Victim

사용자 삽입 이미지기업 위기가 발생하면 최초 기업 내에서 극도의 주의를 기울이는 부분이 ‘상황파악과 분석’ 과정이다. 많은 기업 위기관리 실패는 이 상황파악과 분석이 정확하게 제때에 이루어지지 않았기 때문 발생한다. 빠른 상황파악과 분석을 위한 모니터링, 초기 내부 알러트 시스템, 위기관리주체그룹의 형성, 통합적/전문적 정보취득 및 분석, 공유, 빠른 의사결정 등 이 단계의 모든 부분들, 즉 초기 위기관리 시스템의 품질이 이 단계 성패를 좌우한다.

최근 발생한 현대캐피탈과 농협의 고객정보유출 케이스. 두 회사의 위기 커뮤니케이션에서는 많은 공통점과 차이점이 존재한다.

이 두 회사 모두에게 가장 어려웠던 단계가 초기 상황파악과 분석의 시간이었을 것으로 생각된다. 일반적으로 고객정보유출 케이스에서는 항상 가해자와 피해자가 있기 마련이다. 기업이 보유하던 고객정보가 (말 그대로) 스스로 유출되는 경우는 현실적이지 않다. 내부나 외부 인력 누군가에 의한 의도적 정보 유출이 대부분이다. 즉, 기업은 이 모든 경우 피해자(victim)가 될 가능성이 더 높다.

더 나아가 위기 커뮤니케이션을 위한 포지션 설정에 있어서, 해당 기업은 고객정보보안에 있어 ‘(자신의 문제를 일부 인정해야 하는) 책임 지는 피해자’가 되거나, ‘(문제를 인정할 필요가 없는) 순수한 피해자’가 되느냐 하는 양 갈래 선택을 하게 된다. 자사의 정보 보안 문제점을 인정하는가 하지 않는가가 해당 상황의 파악과 분석에 있어 중요한 잣대가 된다는 이야기다.

고객 정보 유출이 자사가 가진 정보 보안 능력의 부실로 더욱 ‘쉽게’ 발생했는지, 아니면, 경쟁력 있는 정보 보안 능력에도 불구하고 이를 ‘넘어선 수준’에 의해 발생했는지에 대한 가늠이 있어야 한다. 여기에 초기 복잡함과 판단의 어려움이 있다. (조사 시간이 오래 걸린다는 한계도 인정)

현대캐피탈과 농협의 케이스에도 이 기준들을 적용할 수 있겠다. 즉, guilty victim이냐 pure victim이냐 하는 기준에 따른 판단이다. 여기에서 주목해야 할 것은 ‘책임’에 관한 이야기를 기업들이 상당히 쉽게 했다는 부분이다.

‘책임’을 언급하는 데 있어서 이해관계자들과의 ‘공감’에 비중을 두는가, 또는 ‘법적 입장’에 비중을 두는가 하는 고민이 선행 되어야 하는데, 이번 두 케이스를 보면 의외로 ‘책임’이라는 부분에서 자유로운 것 같다는 느낌이다. (일부 언론은 벌써 이 ‘책임’ 부분으로 앵글을 옮겨가는 곳들이 생겨나기 시작했다)

기본적으로 ‘책임’을 스스로 언급하거나 ‘책임’을 지겠다 선언하는 것은 스스로가 guilty victim이라는 일말의 전제를 가지고 있다는 느낌을 주기 때문에 위험하다고 본다. 스스로 확신있는 포지션을 정하지 못하는 상황에서 이 책임을 이야기하는 것에는 주의가 필요하다. (물론 오너 또는 CEO가 시혜적으로 또는 high profile전략으로 밀고 나가시면 어쩔수는 없다. 여기에서 이야기하는 책임 언급이라는 부분은 일반적인 위기관리 케이스를 기준으로 한다)

기업 자신이 pure victim이라는 포지션이 있다면 책임이라는 메시지 대신 ‘고객정보보안에 대한 평소 자사의 원칙’ ‘빠른 복구’와 ‘피해 최소화 노력’등만으로 핵심 메시지를 전달하는 것이 적절하지 않을까 한다. 또한 민감한 ‘말’ 대신 ‘책임감’은 행동으로 보여주면 그것으로 족하다. (존슨앤존슨의 타이레놀 자발적 회수 조치 같이…)

기업이 평소에 객관적으로 입증 가능한 고객정보보안 노력을 게을리 하지 않아 왔었더라면, 이러한 포지션 세팅은 의외로 심플하게 이루어질 수도 있었지 않았을까? 그런 기반이 있었다면, 해당 기업은 pure victim을 선언 할 가능성이 훨씬 높은 것 아닐까?

자신이 스스로 pure victim이라는 포지션에 강한 확신이 있다면, 좀더 고객들과 같은 편에서 같은 피해자로서 수습과 복구에 관한 이야기 그리고 다시는 이런 일이 발생하지 않도록 필요한 개선에 대한 이야기들이 더 자연스럽게 흘러 나오지 않을까? 책임에 대한 메시지가 핵심으로 가기 전에 말이다.

이 두 케이스에서 ‘책임’의 메시지는 (사실이 아닐 가능성이 있는데도) 내부 공모 가능성이 언론에 의해 제기되면서 한번 더 강화되는 듯 했다. 또 그 후 외부로부터의 전문 해킹의 가능성이 떠오르니 그런 책임의 메시지는 상쇄되는 감도 생긴다. 조사기관의 최종 조사 결과가 나와보아야 확실해 지겠지만, 최초 pure victim으로서의 포지션이 아닌 상황에 휘둘리게 보이는 guilty victim으로서의 초기 포지션이 못내 아쉽다.

초기 상황파악의 한계가 그런 포지션을 형성했는지, 아니면 기존 스스로의 정보보안 노력에 대한 자신감 결여가 그런 포지션을 가능하게 했는지…아니면 내부적으로 변수로서 어떤 정치적 또는 리더십 요인들이 있었던 것인지 궁금하다.

* 상기 포스팅은 기업의 도의적 책임이나 기업의 시혜적 책임 언급에 대한 비평이 아닙니다. 좀 더 체계적이고 신중한 위기 커뮤니케이션에 대한 고민에 관한 이야기입니다.


글 : 정용민
출처 : http://jameschung.kr/2167