이 글은 Z2Data CEO Mohammad Ahmad의 인사이트를 담은 2부 연재 시리즈 중 1부로, 새로운 유형의 공급망 교란이 기업의 공급업체 리스크 분석 방식과 인식에 어떤 변화를 주고 있는지, 그리고 제조사가 반도체 공급업체의 리스크 평가를 성공적으로 수행하려면 무엇이 필요한지 다룹니다. 2부, <반도체 공급망을 위한 리스크 모델 개발 및 실행>은 여기에서 확인하실 수 있습니다.
2020년에 시작되어 2023년까지 이어진 반도체 품귀 사태는 거의 모든 측면에서 공급망 대란이었습니다. 이 사상 초유의 교란으로 생산이 멈추고, 대규모 산업 전반에 걸쳐 공급과 수요의 균형이 붕괴되었으며, 2021년 한 해에만 미국 경제에 $2,000억 달러 이상의 손실을 야기하였고 수천 건의 일자리 감소와 주요 제품의 불가역적 가격 인상으로 이어졌습니다.
많은 조직에게 지난 4년간의 소싱과 조달 관련 어려움은 공급업체 리스크의 영향력과 빈도가 점차 확대되고 있음을 실감하게 해주었습니다. 과거에는 쉽게 임시·비공식적으로 대응해 왔던 기업들도 공급망과 이를 유지하는 업체들이 유발할 수 있는 위협을 사전에 파악하고 전략적으로 관리해야 한다는 시급성과 필요성을 인식하게 되었습니다. 즉, 사전에 위험을 탐지·평가하고 완화할 수 있음을 집단적으로 자각하게 된 것입니다. 이로 인해, 공장 중단, 규제 문제, 단종(EOL) 위기 등 실제 운영에 피해가 나타나기 전에 선제적으로 리스크에 대응하는 것이 가능해졌습니다.
공급업체 리스크 분석 개념
다행히도, 제조사·수입업체·기타 이해관계자들은 공급업체 리스크 분석을 위한 오랜 경험과 모범 사례를 참고할 수 있습니다. 공급업체 리스크 분석(혹은 리스크 평가)은 특정 공급업체가 초래할 수 있는 리스크를 인지하고 평가하기 위한 기준 및 프레임워크입니다. 이와 같은 체계적 평가는 공급망 리스크 관리의 핵심 요소로, 미국 국립표준기술원(NIST)은 공급망 리스크 관리(Supply Chain Risk Management)를 “공급망 전반의 취약점·민감점·위협을 식별하고 이에 대응하는 감축 전략을 개발하는 체계적 프로세스”라고 정의하고 있습니다.
리스크 분석(또는 리스크 평가)은 특정 공급업체가 초래할 수 있는 리스크를 인지하고 평가하기 위한 프레임워크 또는 기준입니다.
공급업체 리스크 평가는 효과적인 공급망 리스크 관리의 핵심입니다. 이를 개발·실행함으로써 조직은 잠재적 공급업체에 대해 표준화된 심사를 거칠 수 있고, 과거의 취약점이 경제적으로 얼마나 반복될 수 있는지에 대한 포괄적·정밀한 이해를 얻을 수 있습니다. 또한 공급망을 더 민첩하고 유연하게 관리할 수 있는 효과적인 전략 중 하나입니다.
“이는 매우 중요한 일입니다. 결국 공급망에 영향을 줄 수 있는 잠재적 이슈를 미리 파악하여 최종 제품의 납품이나 생산에 차질이 생기는 것을 방지할 수 있기 때문입니다.”라고 공급망 리스크 관리 플랫폼 Z2Data의 CEO Mohammad Ahmad는 설명합니다. 하지만 이러한 평가는 단순한 리스크 프로파일을 넘어, 다양한 상황에서 중요한 의사결정을 뒷받침하는 공급업체 데이터집 역할도 합니다. “오늘날 가장 큰 과제는 우리 조직이 공급업체에 대해 실제로 얼마나 알고 있느냐는 점입니다.”라고 그는 말합니다. “모두가 공급업체에 대한 가시성을 원합니다.”
“오늘날 가장 큰 과제는 우리 조직이 공급업체에 대해 실제로 얼마나 알고 있느냐는 점입니다.”라고 그는 말합니다. “모두가 공급업체에 대한 가시성을 원합니다.”
공급업체 리스크 분석은 새로운 개념이 아닙니다. 그러나 점차 선택적 조치가 아닌, 효과적인 공급망 리스크 관리의 필수 요소로 인식되고 있습니다. 변동성과 복잡성이 극심한 2020년대에는, 리스크를 정확히 찾아내고 분석하여 공급업체와 투명한 관계를 유지하는 기업만이 경쟁우위를 확보할 수 있습니다.
공급업체 리스크 분석의 핵심 기준 요소
과거 제조사들이 리스크 분석을 수행할 때는 주로 공급업체의 재무 상태, 제품 품질, 평판 등 일부 핵심 요소에 집중하였습니다. 각 공급업체의 노출 수준을 평가한 후, 이를 종합하여 해당 공급업체의 리스크 프로파일을 산정하였습니다.
오늘날 제조사와 이들이 의존하는 공급망의 리스크 환경은 훨씬 복잡해졌고 허들이 높아졌습니다. 앞서 언급한 전통적인 리스크 외에, 현대 환경·지정학적 리스크 및 인위적·자연적 요인까지 가세하며 변동성이 더욱 커지고 있습니다. 이에 따라 기업은 규제 준수 이력, 지리적 위치 등 리스크 평가 항목을 더욱 확대해야 합니다. 특히 공급업체의 지리적 위치는 자연재해, 지정학적 문제, 무역 분쟁 등 관련 리스크에 얼마나 취약한지 나타내는 매우 중요한 지표가 되고 있습니다.
오늘날 제조사와 이들이 의존하는 공급망의 리스크 환경은 훨씬 복잡해졌고 허들이 높아졌습니다.
기업들은 과거부터 태풍·토네이도·홍수와 같은 극한 기상현상으로 공급업체가 영향을 받을 가능성을 염두에 두고 있었습니다. 하지만 기후 변화로 인해 이러한 재난의 빈도와 강도가 점차 증가하고 있습니다. 유엔 재해위험경감국(UNDRR)에 따르면, 전 세계에서 매년 발생하는 '대규모 재난' 건수는 2000년대 초반 대비 3배 이상 증가해 연간 350~500건에 이르고 있습니다. 관련 기후 전망 역시 향후 이 수치가 급격히 증가할 것으로 내다보고 있습니다.
최근 5년간 주요 국가 및 국제기구들은 기후 위기 대응을 위한 기업의 역할과 책임을 강화하는 실질적 조치를 본격 시행하고 있습니다. 지속 가능성 및 ESG(환경·사회·지배구조) 관련 규제는 전 세계적으로 구체적으로 법제화되고 있습니다. 이렇게 등장하고 있는 신규 규제들은 제조사 등 공급망 이해관계자에게 새로운 리스크 카테고리로 작용하게 되었습니다. CSRD, CS3D, 미국 SEC의 기후 공시 요건 등 새로운 지침들이 세계 곳곳에서 시행되면서, 공급업체들은 이전에 없던 새로운 취약성에 직면하고 있습니다.
CSRD, CS3D 및 미국 SEC의 새로운 기후 공시 요건과 같은 지침들이 전 세계적으로 시행되면서, 공급업체는 새로운 취약성 구역을 헤쳐나가야 합니다.
여기에 더해 사이버 보안 리스크가 급격하게 대두되고 있습니다. 최근 일어난 미증유의 사이버 공격 사례들은 이 위협이 얼마나 심각해졌는지 명확히 보여줬습니다. 2020년 러시아 세력이 주도한 SolarWinds 공격, 2021년 중국 국가안보부와 연계된 해커 그룹의 Microsoft Exchange 데이터 침해 등은 사이버 전쟁의 격변을 단적으로 드러냅니다. 이러한 고도화된 해커 그룹과 막강한 정부 후원 세력들은 갈수록 대담해지고 있으며, 글로벌 대기업들은 데이터 유출·악성코드 공격·전사적 보안 실패의 리스크에 직면하고 있습니다.
오늘날 미국 제조사 및 다수 공급업체·서브티어(하위 공급망)에 의존하는 기업에게 명확한 진실이 있습니다. 공급망 리스크 관리가 분명히 진화했다는 점입니다. 자체적인 공급업체 리스크 분석을 준비하는 기업은 수십 년간 공급망을 괴롭힌 교란 요소 그 이상을 살펴봐야 합니다. 이제 제조 네트워크 전반에 내재된 새로운 위협 범주를 반드시 인지해야 합니다.
오늘날 미국 제조사 및 다수 공급업체·서브티어에 의존하는 기업에게 분명한 진실이 있습니다. 공급망 리스크 관리의 진화입니다.
결과적으로, 포괄적인 리스크 분석에는 다음 최소 6가지 공급망 리스크 요소가 반드시 포함되어야 합니다:
- 재무 건전성 및/또는 파산 리스크
- 극한 기후 및 기상 재난
- 지정학적 이슈
- ESG 및 지속 가능성
- 사이버 보안
- 무역 규제 준수
- 데이터 투명성(가시성)
리스크 평가를 위한 데이터 수집
기업이 공급업체 리스크 식별의 가치와 구체적 평가 항목을 인식한 후에는 실제 리스크 평과 분석을 시행하면 됩니다. 그 첫 단계이자 가장 중요한 절차는 공급업체 관련 데이터 수집입니다. 다양한 정보 수집 방법을 병행 활용할 수 있고, 한 가지 방식에만 너무 의존하지 않아야 합니다. 가장 먼저, 공개된 정보에 접근하는 것부터 시작해야 하며, 이 정보에는 재무 데이터, 본사·생산시설의 지리적 위치, ESG 보고서(앞으로 더욱 공개될 예정) 등이 포함될 수 있습니다.
공개 및 입수 가능한 데이터를 모두 수집한 후에는, 여전히 부족한 정보가 무엇인지 평가하고 입수하지 못한 자료에 대해 공급업체에 직접 요청해야 합니다. 이 두 번째 절차에서는 주로 공급업체에 보안 통제, 리스크 완화 조치, 공급망 관리 등에 대한 다양한 질문을 수록한 설문지(질문서)를 활용합니다.
예를 들어, Shared Assessments 조직에서 개발한 Shared Information Gathering(SIG) 설문지는 서드파티 리스크 관리 도구로, 핵심 21개 항목에 걸쳐 수백 개의 실질적 질문을 포함하고 있습니다. 주요 항목은 다음과 같습니다:
- 규제 준수 관리
- 환경·사회·지배구조(ESG)
- 기업 리스크 관리
- 사이버 보안 사고 관리
- 네트워크 보안
- 운영 복원력
설문지는 데이터 수집의 핵심 수단이긴 하지만, 기업이 공급업체 정보를 얻는 유일한 방법이어서는 안 됩니다. “설문지가 정보의 유일한 출처가 되어서는 안 된다고 생각합니다.”라고 Ahmad는 말합니다. “리스크 기반 의사결정을 제대로 내리려면 다양한 출처의 정보를 보유해야, 심층 분석이 필요한지 여부를 제대로 판단할 수 있습니다.”
포괄적 리스크 평가 프로세스 구축: 2부
하지만 리스크 요소를 식별하고 관련 데이터를 모두 확보했다고 해서 리스크 평가 프로세스가 끝나는 것은 아닙니다. 제조사가 이를 성공적으로 실행한 이후, 실제로 리스크 모델을 개발하고 리스크 평가를 어떻게 구현할 수 있을까요?
이 질문과 반도체 공급망 특유의 주요 리스크에 관한 해설은 시리즈 2부인 반도체 공급망을 위한 리스크 모델 개발 및 실행에서 확인하실 수 있습니다.