KPI가 사고를 일으킨다!!! - 잘못된 지표는 잘못된 결과를 낳는다.
오래전 메일을 뒤적이다가, 내가 너무 진지하게 보낸 메일에 대한 후배의 답변을 확인했다. 매니저님의 메일을 받고, 깊이 고민하지 않고 지시대로만 일을 수행하고 있음을 깨달았다. 어떤 업무 지시를 받든 해당 업무에 윤리적 이슈가 없는지, 그리고 그대로 수행하는 것이 맞는지 확실히 생각해보고 내 의지대로 진행해야겠다고 다짐했다.
메일을 자세히 살펴보니, 그 후배는 취약점 현황 시스템을 관리하던 사람이었고, 팀장의 명령으로 고위험 취약점의 위험도를 일괄 낮추도록 조치한 뒤, 내가 윤리적 문제를 제기한 메일에 대해 답변한 것이었다. (오랜 시간이 지난 지금은 상황이 달라졌지만, 당시에는 참 착한 후배였다…)
몇 해 전, 임원평가를 앞둔 연말 즈음, 통제가 어려운 취약점 조치 KPI를 높이기 위해 팀장이 KPI 자체를 조작하려 한 적이 있었다. 그 직책자의 비윤리적 행위가 어떤 부작용을 낳았을지 궁금해졌다.
과거 진단 업무와 사고 이력을 살펴보던 중, KPI가 실제로 보안 사고를 일으킨 사례를 확인하게 되었다. 보안과 관련된 사항이라 구체적인 내용을 밝히긴 어렵지만, “[단독] 해커에게 금융거래 인증문자 착신전환…비트코인 계좌 털려” 등의 뉴스 기사를 통해 간접적으로 접했던 기억이 있다. (착신전환 외에도 다양한 방법이 가능했다.)
만약 KPI가 없었다면, 실무는 정상적으로 운영되어 사고가 발생하지 않았을 것이다. 그러나 현대 조직 구조에서 KPI는 빼놓을 수 없는 요소이다.
KPI 구성이 잘못된 것일까? 평가자 입장에서 결과 중심(사고가 없든, 취약점이 없든)으로 지표를 설정할 수밖에 없었을 것이다.
KPI를 관리하는 절차가 느슨했던 것일까? 아니면 타이트하게 수시로 피드백을 주며 평가에 반영했더라도 문제가 있었던 것일까? 당시 별도의 TF를 구성해 취약점 위험도에 대해 수시로 피드백을 진행했음에도 불구하고 말이다.
결국, 시간이 지나면서 직책자 평가에 사용되는 KPI는 형식적이라는 사실을 깨달았다. 피터 드러커는 “측정할 수 없는 것은 관리할 수 없다”고 했는데, 사람이 만든 조직에서 기계적인 평가는 처음부터 맞지 않으며, 결국 사람의 욕심에 의해 조작될 수밖에 없다. 과연 우리는 조직을 효과적으로 관리할 수 있을까? 기업은 본질을 우선시할 수 있을까?
Works Cited
“[단독] ‘해커에게 금융거래 인증문자 착신전환…비트코인 계좌 털려.’” 연합뉴스, 2017년 12월 3일, https://www.yna.co.kr/view/MYH20171203004600038. (접근일: 2024년 6월 16일)
“잘못된 지표는 잘못된 결과를 낳는다.” 중앙일보, 2017년 3월 5일, https://www.joongang.co.kr/article/21337981#home.