영국  BCI(Business Continuity Institute) 한국대표 - 유종기

지난 호에서는 최근 심각한 문제로 떠오르고 있는 조류인플루엔자(Avian Influenza)에 대해 기업 입장에서 심각성의 인식과 대응책 마련을 촉구했다. 사실 국내에서는 2006년 SC제일은행에서 AI(조류인플루엔자) 대응을 위한 업무연속성계획을 수립했다는 기사 말고는 기업차원에서 어떤 뚜렷한 대응활동이나 움직임은 보이지 않는다.

미국, 영국 등에서는 민관합동으로 AI 등 전염병을 BCP의 주요 리스크(high profile risk)로 보고 대응책 마련과 공론화, 정보공유, 교육계몽 등에 집중하고 있는 것과는 상당히 대조적이다. 조류인플루엔자와 같은 전염병은 분명 기존의 리스크들과는 분명 다르다. 그럼 기업에서는 구체적으로 이를 어떻게 준비해야 하는가? 전통적인 BCP, 재난관리와는 어떤 차이점이 있는지, 조류인플루엔자와 같은 광범위한 지역에 급속도로 번지는 신종 전염병(Pandemic)에 대응하기 위해서 고려해야 하는 사항을 중심으로 설명한다.

임직원 전염병 감염, 업장 폐쇄까지 이어져
BCP에서는 자연, 인적, 기술, 인프라재해 등 발생가능성은 낮지만 충격과 영향이 큰 사건을 염두에 두고 대응, 복구계획을 수립한다. 대부분 발생 시 지속기간은 짧으며, 특정 지역, 시설 또는 시스템에 영향을 미치는 것이 일반적이다. 하지만 조류인플루엔자와 같은 전염병은 상당히 광범위한 지역에서 창궐하는 경우가 대부분이며, 한번 발생하면 2~3달 이상 그 영향력이 지속되고, 여러 단계에 걸쳐 진행되는 경우도 있음이 관찰되고 있다.

	조류인플루엔자와 같은 전염병은 분명 기존의 리스크들과는 다른 것임데도 기업은 구체적으로 이를 어떻게 준비하고 전통적인 BCP, 재난관리와는 어떤 차이점이 있는지, 조류인플루엔자와 같은 광범위한 지역에 급속도로 번지는 신종 전염병(Pandemic)에 대응하기 위해 고려해야 할 항목은 무엇인지 삼고 고려 해야 한다.

따라서 어떤 기업도 이에 자유로울 수 없으며, 임직원이 전염병에 감염되어 임직원의 결근, 사업장폐쇄 등의 사건이 일어날 경우에는 해당 기업은 비즈니스연속성확보에 큰 어려움을 겪게 된다. 따라서 이에 대한 대응계획(pandemic plans)에는 기업의 규모, 복잡성 그리고 수행하고 있는 업무 특성이 반영되어야 하고 이를 위해서 특히 기존의 BCP체계에서 주기적으로 하고 있는 비즈니스영향분석(BIA, Business Impact Analysis)과 위험평가(RA, Risk Assessment)를 활용, 기업에 미치는 영향과 충격을 정확히 파악하는 것이 중요한 포인트다.

*비즈니스영향분석 시 중점적으로 고려해야 할 점
(* BCP체계에서의 BIA와 크게 다르지는 않지만 상당수(전 직원의 40% 이상 수준)의 임직원 결근/손실을 가정하고, 외부와의 상호연관성의 증대, 대체사업장 지역이 전염병으로 오염된 경우에는 직원 이동 및 업무수행이 불가능할 수 있는 등 worst case 상황을 추가적으로 고려해야 하는 점이 강조된다.)
1) 전염병 발생을 통해 직, 간접적으로 영향을 받는 핵심업무 기능 식별 및 우선 순위화
2) 핵심업무 기능, 프로세스, 관련 지원 자원/조직에 대한 전염병 발생의 예상되는 영향도
3) 업무중단과 관련된 법적, 규제 요건, 이해관계자에 미치는 영향 파악
4) 감내할 수 있는 최대 업무중단 시간, 복구목표수준 파악
5) 주요 프로세스와 주요 직무에 대한 교차교육(cross-training)수행과 수준 평가
6) 주요 서비스/제품 제공업체의 대응역량에 대해 파악, 평가

*위험평가/위험관리 시 추가적으로 고려해야 할 점
1) 외부와의 공조(Coordination with Outside Parties) : 기업 내에서 임직원의 전염병 감염이 발생한 경우에는 즉각 신고하여 정부/지역의 보건, 응급서비스 협조를 받아야 한다. 그리고 주요 서비스, 제품 공급업체와의 협조체제를 미리 마련하고 복구자원을 확보하여 업무중단에 대비해야 한다.
2) 징후 감지(Identification of Triggering Events) : 전염병 관련 최신 뉴스, 보건당국 등 정부발표자료를 민감하게 모니터링하여 만약의 사태에 미리미리 대응할 수 있는 준비를 한다.
3) 임직원 보호(Employee Protection Strategies) : 보건위생 교육을 통해 전염병 감염 가능성을 줄일 수 있는 여러 방법을 전달한다. 재택근무와 같이 원격지에서 업무를 수행하는 방안을 마련하고 최근 보건당국이 발표한 지침이나 뉴스를 접하게 한다.
4) 경감 활동(Mitigating Controls) : 임직원 간 업무에 대한 교차교육(cross-training)수행과 업무승계계획(succession plan)을 미리 수립하여 대량의 임직원 결근 또는 손실이 가져올 영향과 충격을 최소화한다.
5) 원격접속(Remote Access) : 전염병이 창궐하면 분산되어 있는 임직원에 대한 커뮤니케이션에 대한 의존도는 매우 커진다. 이러한 커뮤니케이션과 원격지에서의 업무수행을 가능케 하는 통신, 네트워크 기술과 관련 시스템 등 인프라 구축이 준비되어야 한다.

앞에서 언급한 BIA, RA를 활용한 대응계획 작성에서 반영해야 하는 사항과 더불어 조류인플루엔자와 같은 전염병에 대한 대응체계 수립 시 반드시 이행되어야 하는 과제를 5가지로 정리했다.
1) 예방 프로그램 (A preventive program)
전염병으로 인해 심각한 영향을 받을 가능성 자체를 줄이자는 목적으로 발생 징후 감지활동(monitoring of potential outbreaks)을 수행하고, 임직원 위생 및 비상 시 행동요령에 대한 교육을 실시하며, 주요 제품/서비스 제공업체와 공동대응 안을 마련한다.

2) 전략 수립 (A documented strategy)
전염병 발생 및 확산 단계(예 : 해외에서 조류인플루엔자 인체감염 case 최초 발생 단계, 국내 상륙/첫 감염 case 발생 단계, 해당 기업 임직원 감염 case 발생 단계 등) 별로 대응전략을 마련해야 하고, BCP와 같이 각 단계마다 예방, 대비, 대응, 복구 차원에서의 구체적인 계획 역시 미리 준비하고 문서화해야 한다.

3) 시설, 시스템, 프로세스에 대한 철저한 체계 마련 (A compre hensive framework of facilities, systems, or procedures)
상당수의 임직원이 몇 달 이상 업무를 수행하지 못하는 상황을 가정하여 주요 핵심시스템 및 업무의 중단 없는 가동을 가능케 하기 위한 대책이 필요하며, 전염병 감염으로 인해 사업장이 아닌 재택근무 또는 대체업무장소(alternate site) 운영 등을 가능케 하는 방안과 이를 지원하는 관련 시스템, 프로세스가 준비되어야 한다.

4) 모의훈련 수행 (A testing program)
실제로 전염병 대응 전략, 계획들이 실행가능하고 실제 상황에서 효과적인지 그리고 주요 핵심 업무들이 중단 없이 운영되는지 등을 여러 형태의 테스트 방법에 의해 반드시 검증되어야 한다.

5) 지속적인 갱신과 검토 (An oversight program to ensure ongoing review and updates)
관련 정책, 표준, 프로세스 등 문서에 정부 및 유관 기관에서 제공하고 있는 전염병 관련 최신의 정보를 주기적으로 갱신, 반영되어야 하고 이러한 일련의 활동이 지속적으로 내부 모니터링 시스템에 의해 검토되어야 한다. 마지막으로 미국, 영국을 중심으로 조류인플루엔자 등 전염병 대응과 관련한 자료와 관련 지침, 계획수립에 대한 정보들을 얻을 수 있는 웹사이트1)를 소개한다. 이를 통해 보다 상세한 준비와 대응체계 마련에 도움을 얻을 수 있을 것이다.