배경 : 리스크 환경 변화와 리스크 관리 체계 고도화의 필요성
2022년 9월 태풍 힌남노는 기존 태풍들과는 다른 양상으로 한반도에 상륙했다. 북위 25도보다 북부 해상에서 발생해 대만 방향으로 서진하다가 한반도 방향으로 급격히 북상한 것이다. 이는 특이하게도, 통상 북상하면서 수온이 낮아지는 중위도 즈음 태풍 규모가 약화하는 양상과는 달리 초속 54m 이상 규모의 초강력 태풍으로 발달해 한반도를 강타했다.
힌남노의 상륙과 함께 국내에서는 크고 작은 피해가 발생했다. 단연 가장 심각한 사례는 포항 냉천의 범람과 함께 일어난 포스코 포항제철소의 침수 피해였다. 여의도 3배 면적의 포항제철소로 범람한 물이 집중적으로 유입되면서 포스코는 △압연지역·수전설비 침수 △생산·제조 시설 마비 △정전 △화재 등 각종 피해로 인해 제철소 가동 이래로 50년 만에 처음 셧다운을 겪었다.
포항제철소의 셧다운과 장기간 복구 작업으로 인한 영업 중단, 사업 휴지(Business Interruption)는 약 2조 원의 피해 비용과 전년 대비 46.7%의 영업이익 감소로 이어졌다. 포스코가 국가 경제에서 차지하는 비중과 영향력을 생각하면 이는 대한민국 사회 전반의 큰 손실이라고도 평가할 수 있다. 포스코의 기업가치를 대변하는 시가총액 또한 큰 폭으로 하락하면서, 리스크 관리의 실패가 궁극적으로 기업가치에 부정적 영향을 준다는 교훈을 보여주는 사례로 자리매김했다.
이 사례로부터 주목해 볼 문제는 대규모 경제적 피해를 유발할 수 있는 손실 사건(Loss Event)의 발생과 그 규모가 현대사회 리스크 환경 변화의 가속성과 함께 더욱 예측하기 어려운 방향으로 흘러가고 있다는 점이다. 리스크 환경의 변화는 앞선 힌남노 사례와 같이 △기후환경 변화 △인공지능 범용화 △디지털 전환 등에 기인한다고 설명할 수 있는데, 이런 변화가 빨라지면 새로운 리스크에 대한 사회적 이해와 경제적 대응은 부실해질 수밖에 없다. 이렇듯 리스크 환경 변화와 함께 새롭게 등장하는 리스크를 학술적으로 이머징 리스크(Emerging Risk)라고 한다. 이와 다르게 전통적 리스크(Classical Risk)는 리스크를 인수하고 손실을 보장하는 거래가 이뤄지는 보험시장에서 상품화되는 개념이다.
그림 1(a) 표에서 나타내듯 이머징 리스크는 전통적 리스크와 비교했을 때 정보가 부족해 정의와 분류가 명확하지 않고, 통제 및 전가에 관해서 의사 결정을 내릴 때 필요한 데이터가 불충분하다는 특징을 가진다. 그래서 재무적 측면에서 기업이 이머징 리스크를 효과적으로 관리하려면 정확한 정의와 분류부터 시작해 △이머징 리스크에 관한 데이터베이스 구축 △데이터 기반의 고도화된 리스크 평가 모델 개발 △리스크 관리를 위한 재무적 의사결정 시스템 확립까지 일련의 과정을 체계화해야 한다(그림 1(b)). 이 글에서는 본인의 연구 그룹에서 주로 다루는 디지털 환경에서의 리스크, 소위 사이버 리스크 사례를 중심으로 데이터 기반 리스크 평가에 관해서 간략히 소개하고자 한다.
데이터 기반 리스크 평가 : 사이버 리스크 사례 중심으로
기업의 사이버 리스크 평가는 다음의 세 가지 방법론을 통해 구조화할 수 있다.
먼저, 사이버 리스크에 노출된 기업 또는 기관의 특성을 평가할 수 있는 도구를 발전시켜야 한다. 기업의 특성을 파악하는 데는 샘플 수가 상대적으로 많은 외부 손실 데이터를 활용해 기업의 재무 정보와 규모 등을 분석해 정리하는 방식의 접근법을 많이 활용한다. 이를 퍼모그래픽(Firmographic)이라고 부르는데, 일반적으로 기업의 △매출 △임직원 수 △자산규모 △업종 △지리적 위치 △지배구조 등을 통계적으로 분석해 정보화한다. 매출과 업종의 경우 기업의 사이버 리스크에 노출된 기업의 잠재적 손실량인 리스크 익스포저(Risk Exposure)를 결정하는 주요 요인으로 밝혀져 있다(Eling and Jung, 2022). 특히 매출은 회사의 규모를 판단하는 기본적인 정보로 쓰이나 임직원 수로 대체해 평가하기도 한다. 지리적 위치는 전력, 데이터 센터 등 주요 기반 시설의 위치 및 업종비율 등에 따라 사이버 리스크 익스포저를 결정하는 요인으로 작용한다. 기업의 형태 및 지배구조에 따라 사이버 리스크 관리 및 네트워크 연결구조의 차이가 존재할 수 있기 때문에, 이 요소들 또한 중요하다. 또한 평가가 왜곡되지 않도록 퍼모그래픽 데이터에 기업의 재무제표나 미디어 정보 등을 지속해서 반영해야 한다.
다음으로 보안 수준이나 사이버 보안 자세(Cyber Risk Posture)에 관한 정량적 평가의 문제가 있다. 리스크 계량 및 사이버 위협 인텔리전스(Risk Metrics & Threat Intelligence)라고 부르는 이 단계에서는 기업의 내부 데이터 수집을 통해 △이메일 △웹사이트 △외부 네트워크 보안 등의 다양한 보안 요소별 정량 지표를 구축하는 방식이 일반적이다. 퍼모그래픽 및 리스크 계량화를 통한 보안 평가 시스템이 갖춰졌다면 마지막으로 사이버 리스크 사건에 의한 잠재적인 재정 손실 규모를 평가하는 모형을 구축해야 한다. 이런 과정에서 사이버 리스크 관리에 대한 기업의 재무적 의사결정을 돕고, 미래에 발생할 만한 대규모 손실 사건에 대응하는 역량을 제고할 수 있다. 통상 글로벌 사이버 리스크 평가 전문기관의 접근 방식은 우선, 퍼모그래픽의 기업 특성 정보와 위협 인텔리전스를 통해 사이버 리스크에 노출된 기업 고객의 데이터를 충분히 수집하는 것으로 시작된다. 이후 손실 사건의 발생빈도 및 피해 규모를 통계모형으로 추정하고, 잠재적 재무 손실량을 산출하는 과정을 거친다(그림 2).
사회는 더 빠르게 디지털화되고, △코로나19 △기후변화 △국제사회 분쟁 등 리스크 환경의 변화를 더욱 가속하고 불확실하게끔 만드는 요인들이 다수 관찰된다. 이런 환경에서 대형 위험 사건이 발생해 대규모 손실을 유발하게 되면 기업의 사업 연속성(Business Continuity)을 크게 해칠 수 있으므로, 견고한 재무적 역량(자본력)을 갖출 수 있는 효과적인 재무 리스크 관리 전략을 취하는 것은 매우 중요하다. 효과적인 전략은 데이터 기반 리스크 평가 체계 구축을 기본으로 하며, 이런 체계의 고도화를 선도하는 학술 연구는 궁극적으로 기업의 성공적 운영관리, 위험관리 시장의 균형, 나아가 국가 경제체제 안정까지 기여한다.
