이슬기 (주)에이씨이익스프레스 경영기획사업본부장/전무이사
인하대학교 물류전문대학원 박사과정

물류보안제도의 탄생 배경과 역사 그리고 다양한 물류보안제도와 더불어 물류보안인증제도의 개략적인 소개에 이어 이번호에서는 ISO28000인증제도에 대해 보다 구체적으로 파악 해 보고자 한다.
ISO28000인증의 양 당사자 즉, 인증심사기관과 피인증기업의 입장에서 ISO28000의 개념에 대한 이해와 함께 보다 구체적인 내용을 파악함으로서 인증 획득을 위해 무엇을 어떻게 준비를 할 것인지 살펴보기로 한다. 현재 우리나라에서 ISO 28000 인증심사를 수행하는 곳은 (사)한국선급이 유일하다. 인증심사기관의 입장과 의견은 인증을 준비하는 기업에 더할 나위 없이 훌륭한 조언이 될 수 있을 것이란 생각으로 물류신문사와 함께 (사)한국선급 시스템인증센터를 방문하여 박문규 시스템인증센터 소장과 인터뷰를 진행했다. 박문규 소장은 서울대학교 공과대학을 졸업하고 대우중공업을 거쳐 한국선급에 입사했다. 품질인증센터 소장과 함정기술팀장을 역임하고 현재 시스템인증센터 소장을 맡고 있다. ISO9001과 ISM(선박안전), ISPS(선박보안), OHSMS18001과 ISO28000 심사원과 한국심사자격인증원 전문위원과 강사로도 활동하고 있다. 박문규 소장과의 인터뷰 내용을 다음과 같이 정리 했다.

Q. ISO28000소개를 부탁한다.
A. ISO28000은 우리말로 물류보안 경영시스템이다. 여기서 경영시스템이라는 단어에 주목해야한다. ISO의 첫출발은 1987년도에 ISO9000시리즈 발행으로 시작됐다. 당시에는 품질을 논할 때 하드웨어 위주로 했다가 경영시스템이 중요하다는 시각차이가 있어 개발된 것이 ISO9100, ISO14001, OHSAS18001, ISO28001이다. 즉 ISO28000은 경영시스템이므로 경영에 도움이 되어야 한다. 경영시스템은 회사의 업무절차, 경영방침, 목표에 접목해서 하는 것이다. AEO는 경영시스템 규격은 아니라고 본다. 그것은 요구사항의 충족에 중점을 둔 것이고 ISO28000은 ISO9001과 마찬가지로 인증기업에서 ISO28000에 맞는 적합성을 확인하고 거기에 따른 절차를 수립해서 회사의 이익이 되는 수립을 하는 것이 주목적이다. 따라서 AEO를 잘하려고 해도 ISO28000이 필요할 것으로 본다. 경영시스템은 일부사람만 가지고 획득할 수 있지만 계속 유지해야 하므로 인증만으로 끝나는 것이 아니기 때문이다. 한국선급은 인증기업에 도움이 되는 심사, 기업은 자신의 이익이 되는 시스템을 수립하는 것이 가장 중요하다. 따라서 AEO도 중요하며 이는 회사의 이익을 위해서도 필요하다고 본다. 이익창출과 비용절감 등이 접목되어 경영시스템을 수립해야 효과를 볼 수 있다고 생각한다.

Q. ISO28000을 도입하는데 가장 중요한 것은?
A. 어느 회사나 경영시스템이 있다. 기업이 운영하는 시스템에서 ISO 개념을 이해하고 접목하는 것이 중요하다. 무에서 유를 창출하는 개념이 아니다. 회사가 유지되고 사업이 잘 된다면 시스템이 있을 것이고 그 시스템의 신뢰성을 보여주는 것에 ISO28000이 필요한 것이다. 업무에서 갭 분석을 해보면 우리는 어떠한 일을 하고 있고 부족한 것이 무엇인지 확인하고 보완할 수 있다. 그래서 인증기업들은 회사의 시스템이 국제적 수준으로 업그레이드되었다고 말할 수 있다. 일부 기업이 내부 심사제도나 경영 검토 등의 제도를 운영하고 있으나 ISO28000은 국제 표준을 따르기 때문에 보다 신뢰성을 보장할 수 있다. 인증을 받지 않더라도 시스템이 없거나 문제가 있는 것은 아니다. 가장 중요한 것은 ISO28000의 요구사항에 대한 이해가 필요하다. 그런데 대부분 요구사항은 기업들이 이미 하고 있고 그렇지 않은 회사는 그 중 20~30%정도라고 본다. 프로세스는 다 있고 영업 관리나 고객 대응도 다 하고 있다. 그것들을 ISO28000의 요구사항과 비교했을 때 어떤 부분이 적합하고 부족한지 찾아낼 수 있기 때문에 기업에 도움이 된다고 생각한다.

Q. ISO28000의 대표적인 특징은 무엇인가?
A. ISO28000의 특징은 경영 시스템이라는 것이다. 따라서 업무 관계가 들어가 있고 물류보안 측면에서 물류 보안 리스크평가가  들어가 있다. 다른 ISO표준과 비교할 때 중요한 것은 지속적인 개선이며 회사 실적에 맞도록 개선을 요구한다. 또한 보안방침, 환경, 품질, 안정에 대한 방침이 있다. 그리고 방침 뒤엔 목표가 있고 그 안에서 세부 목표와 실행이 중요하다. 그런 것들은 이미 기업에서 진행하고 있지만 ISO28000은 보안 측면에서 한 번 더 확인해보고 회사에 맞는 점을 찾아 시스템에 적용하는 것이다. 기본 관리는 문서관리와 교육 훈련이 있다. ISO의 공통 특성은 내부 심사라든지 실적을 피드백해서 부족한 점을 개선하는 것이다. 기업의 경영자의 입장에서 본다면 상당히 매력적일 것이다. 경영자는 자신의 소신대로 직원이 움직이길 원하는데 이 부분에서 ISO28000은 중요한 역할을 할 것이다. 회사의 매뉴얼이 국제 표준에 비해 어느 정도 신뢰성이 있는지 모르기 때문에 ISO2800을 받음으로서 확인이 된다. 따라서 더욱 확신을 가지고 경영할 수 있는 장점이 있다.

Q. ISO28000은 주로 물류기업에 해당한다는 인식이 있는데…
A. ISO28000의 탄생 배경은 제조사가 제품을 만들어서 고객에게 운송할 때까지 모든 과정에 해당한다. 창고를 운영하거나 운송을 하거나 모두 해당된다. 그런 시스템을 두고 누가 먼저 어떻게 할 것인지를 두고 해야 한다. 보안은 Security인데 Safety와는 다르다. Safety를 인적 보호라고 보면 Security는 물품이나 시설에 대한 보호를 말한다. 사전 보호 성격으로 예방 성격이 강하고 그것을 필요로 하는 기업에게 해당된다. AEO는 구체적인 기준을 가지고 있고 평가표도 구체적이다. 하지만 ISO28000은 경영시스템에 맞는 시스템이 수립되고 심사가 진행된다. 따라서 AEO도 우수하지만 당장 취득이 어려운 기업은  ISO28000을 먼저 인증함으로서 대비를 할 수 있다. 이유는 시스템이 있어야 성과가 나오기 때문이다. 현재 일하는 방식으로 진행한다면 실수가 있거나 계획 실행에 문제가 있을 수 있는데 ISO28000은 그런 것이 체계적으로 진행된다. 좀 더 합리적인 경영 마인드로 일 할 수 있는 기반이 되므로 기업에 도움이 된다. 모든 직원들이 한마음 한 시스템을 가지고 진행한다면 이익 창출에 분명히 도움이 될 것으로 확신한다.

Q. ISO28000의 국제적인 인지도와 위상은 어떠한가?
A. ISO28000이 발행된 지 얼마 되지 않았다. 국내는 2008년 4월에 마련되었다. 국내가 빨리 도입되었기 때문에 국제적으로도 우리나라가 앞서가고 있다. 선진국이 어떻게 하느냐가 문제지만 대한민국이 보안에서 앞서가는 인식을 주는 부분에서 ISO28000의 가능성을 확인할 수 있다. 특히 우리나라는 아직 남북 대치하고 있어 위험한 나라란 인식이 있는데 ISO28000의 보안 시스템을 도입함으로서 대한민국의 민간업체들도 철저히 준비하고 있다는 인식을 주면 국익에도 도움이 될 것이라고 생각한다. 다만 아쉬운 점은 아직도 많은 물류기업들이 ISO28000에 대해 확신을 가지지 못하고 있다는 점이다. 우리가 강조하고 싶은 것은 기업에 도움이 된다는 것. 기업에 도움이 되지 않으면 하지 않는 것이 옳다. 그러나 ISO28000은 검증된 제도이므로 도움이 된다. 이러한 측면에서 최고경영자와 임원진들이 ISO28000에 대해 숙지할 필요가 있다. ISO28000은 경영시스템이므로 경영자들이 먼저 관심을 갖고 리더십을 발휘해 직원들이 따라오게 하는 시스템이다. 한국선급이 여러 기업을 심사하고 있는데 개인적으로 심사를 많이 해보니 역시 경영 시스템이 성공하려면 경영자의 리더십이 매우 중요하다. 인증에 대해 경영자가 관심이 없다면 획득하더라도 활성화가 되지 않고 도움이 되지 않게 된다. 그렇게 되면 인증을 받은 사실만이 남는다. 때문에 회사 상담 시 ISO28000인증은 기업을 위한 인증이지, 인증사에게 도움이 되는 인증이 아니라는 것을 강조하고 있다. 분명히 ISO28000이 기업에 도움이 되는 사례가 많으므로 확신하는 자세가 필요하다.

Q. 경영자의 관심도 중요하지만 ISO28000의 확산을 위한 교육도 필요하다고 보는데…
A. 시스템을 잘 실행하려면 CEO의 리더십과 전직원의 참여, 직원들이 각자 맡은 업무 분야에서의 스터디와 ISO의 이해가 필요하다. 때문에 교육은 매우 중요하다. 교육은 요건해설 과정 2일, 내부 심사 과정 3일을 진행하면 충분하다. 교육의 수요가 있다면 항상 고객을 만날 준비가 되어있다. 금년 확정 교육 일정은 인터넷에 이미 공개가 되어있다. 그 외에도 ISO28000의 교육에 대해서는 필요하다면 언제든지 준비하고 있다.

Q. 인증을 준비하는 기업에 조언을 한다면?
A. 크게 2가지다. 먼저 ISO28000 규격에 대한 이해가 중요하다. ISO9001을 받은 기업에게 ISO28000 인증 습득이 쉽고 용이할 것이다. 그러나 인증이 없는 기업은 ISO28000 규격에 대한 이해가 중요하다. 두 번째는 어떻게 하면 효과적으로 할 것인가에 대한 고민이다. 시스템 수립과 인증획득에 대해 비용개념이 아니라 투자개념이라고 생각해야 한다. 투자라고 생각해야 투자 대비 효과에 대해 생각하고 지속적인 유지보수와 개선이 가능하다. 단순히 비용개념으로 생각한다면 인증 받고 나서 무엇이 바뀌는지에 대해 의문이 들 것이다. 때문에 시스템 수립과 인증에 대한 관련 비용은 투자라고 생각해야 한다.

Q. 현재 ISO 28000인증은 한국선급이 유일한 인증기관이다. 한국 선급을 소개 해 달라.
A. 한국 선급은 본래 선급 업무가 기본이다. 선급 업무는 선박의 보험에 관련된 선박의 가망성과 안전 설비가 제대로 갖춰져 있는지 확인하는 업무와 정부 대행 업무를 위임받아 선박을 검사하고 있다. 현재 한국선급은 50개 국가에게 위임 받아 대행하고 있다. 다시 말해 선박 검사가 주된 업무이다. 국제 선급 연합(IACS)은 현재 11개 선급이 있으며 한국선급은 7번째 규모다. IACS에 가입해야 국제 보험사에서 인정해준다. 때문에 한국선급이 없다면 국내 선박 검사는 해외에 맡겨야 하는 문제가 있기 때문에 한국선급은 한국 선주를 보호하고 외국 선주들 유치 경쟁관계에 있다. 우리가 검사하다면 비즈니스 획득 효과가 있다. 한국 선급은 부대사업으로 인증사업을 하고 있다. 고객들은 선박의 신뢰성을 위해서 제조업체의 품질시스템이 정상인지 확인하는 것을 원하므로 인증 사업을 진행하고 있다. 그리고 해군 함정, 에너지 환경(풍력발전과 재생 에너지 관련 사업)을 진행하고 있다.
외국 선급 (로이드 등)들은 육상에도 진출해 있는데 한국선급 역시 육상분야 고객을 창출하기 위해서 노력하고 있으며 그 중 하나가 ISO28000이다. 그리고 이를 통해 물류 업계와 파트너 관계가 되었다는 것이 매우 중요하다. 우리가 본래 가지고 있던 선박관련기술이나 인증관련기술이 ISO28000을 통해 물류분야에 접목이 된다면 훨씬 더 시너지 효과가 있지 않을까 싶다.
한 가지 더 말한다면 현재 ISO9001 시장은 혼탁하다. 정부가 금년부터 부실인증심사를 방지하는데 대책을 강화할 준비를 하고 있다. 부실 인증 원인 중 하나가 외국 인증기관이 무분별하게 활동한다는 점이다. 인증기업에 도움이 되는 심사를 하는 것이 아니라 인증서를 빨리 수여하는 것에 치중하고 있다. 고객은 인증서를 빨리 받는 것을 중요하게 생각하므로 회사에 도움이 되는 시스템을 만들지 못하고 인증만 받는 식으로 진행되어 인증서를 남발하는 경우가 많이 발생했다. 이에 정부는 개선 의지를 강하게 어필하고 있다. 한국 선급은 창립 때부터 부실 인증서 발급이 아니라 기업에 대해 도움이 되는 심사를 통해 기업과 파트너십을 유지하는 것이 목적이다. 부탁드리는 것은 외국 인증기업이 국내 물류기업에 접근해서 저렴한 가격에 준다거나 하는 영업에 응하지 않아야 한다. 이미 ISO9001에서 그런 경험이 있으며 국가에서도 우려하고 있다.

Q. ISO28000 인증기관의 입장에서 확산을 위한 국가적 지원이 필요할 것 같은데 …
A. 전략물자관리원 및 기술표준원과 이야기를 하고 있다. 두 기관 역시 확산에 대해 고심하고 있다는 점에서 향후 지원이 있을 것으로 기대한다. 예산이 부족한 중소기업을 위해 정부의 초창기 지원제도가 ISO9001과 ISO14001 때 있었다. ISO28000에도 중소기업을 위한 지원이 필요하다. 그러나 정부의 지원은 예산의 집행 시기가 정해져 있기 때문에 기업이 급히 인증을 신청하거나 실적에 매달리게 되어 부실할 수도 있는 단점이 있다. 그러나 국가적 관심사가 있고 보안의 중요성을 감안할 때 충분히 검토를 해서 건의할 것이다.

Q. 현재 취득업체나 준비 중인 업체 현황은?
A. 현재 7개 업체가 ISO28000을 받았다. 또 일부만 받은 경우가 있다. 이런 경우 확산하려고 하는 경향이 있다. 사업장의 일부만 받은 경우 효과가 없다. 센터와의 언밸런스 문제가 있고 ISO 경영시스템은 전원 참여가 중요하기 때문이다. 일부만 받은 기업은 확산 방법에 대해 내부적으로 계획을 세우는 것이 바람직하다.

Q. ISO28000에 대해서 업계에 당부하고 싶은 말은?
A. ISO28000은 경영시스템, 매니지먼트 시스템이기 때문에 경영자가 관심을 가져야 한다. 흐르는 물처럼 계속 돌아가야 한다. 또한 환경 변화에 따라 절차도 바뀌어야 한다. 심사 때 어떤 절차가 얼마나 개선되었는지가 중요한 요소가 된다. 환경 변화에 맞춰 계속 방침 목표가 바뀌어야 한다. 변화하지 않으면 죽는다는 말이 있듯이 변화는 시스템의 개선이다. 흐르는 물처럼 지속적인 개선이 필요하다. 그리고 시스템에 반영되어야 한다. 일부 기업은 시스템에 반영이 되지 않아 일부에서만 반영되는 문제가 발견되기도 한다. 회사에 도움이 될 수 있도록 지속적인 변경을 통해 시스템이 발전해야 한다. 기업이 영속하고 발전하는 한 시스템도 같이 발전한다는 개념이 필요하다. 경영이 계속 되듯이 물류보안 시스템도 같이 가야 한다.

저작권자 © 물류신문 무단전재 및 재배포 금지