사고는 하나의 문제로 발생하지 않는다
뉴스에서 어떤 사고나 사건을 접하게되면 그 책임을 누군가 떠안고 해임당하거나 징계를 내린다. 사람에게 책임소재를 묻는 것이 확실하며 결과적으로 다른 사람들에게 '문제를 헤결했다'고 보여주기 가장 쉬운 방법이기 때문이다. 그런데 과연 그 사고는 그 사람 하나 때문에 일어난 일일까? 그 사람이 없으면 다시 그런 일이 일어나지 않을까?
이전에 회사에도 이런 비슷한 일이 있었다.
"노션 페이지를 공유받았는데, 상위 페이지에 접근이 가능하고 운영하는 사이트 아이디와 비밀번호에 접근할 수 있습니다. 메일 확인하시는대로 바로 노션 권한을 변경하시고 계정정보들도 바꾸시기 바랍니다. 내일까지 조치되지 않는다면 개인정보보호 관련 유출 위험성으로 신고하도록 하겠습니다."
우리는 노션으로 내부문서와 외부문서를 모두 사용하고 있었다. 외부문서는 불특정 다수에게 노출되었고, 내부문서는 운영문서와 각종 계정의 비밀번호를 저장하고 있었다. 그러던 중 위와 같은 메일이 밤 10시쯤 날아왔다. 이 내용은 바로 사내메신저에 공유되었고 마침 컴퓨터를 사용중이던 내가 부리나케 노출을 차단해 놓았고 계정 접속 흔적은 다행히 없었다. 다행히도 메일은 준 사람은 악의가 없었지만, 악의가 있던 사람이었다면 어땠을까?
이 노션 페이지를 담당하던 사람은 입사한지 3달된 운영팀의 주니어였는데 이 일로 매우 자책했다. 물론 세세하게 확인하지 못한 것에 대해서는 잘못이 있지만 과연 이 사람 한 명이 온전히 잘못한 일이라고 할 수 있을까?
이전에 사고를 예방할 수 있는 장치들을 마련하고 있었다. 각 부서에 노션 문서정리를 하도록 지시하였고, 그 이후 좀 더 정리를 강화하기 위해 외부와 내부 문서를 분리하여 내부문서는 컨플루언스를 사용하라고 하였다. 하지만 운영팀장은 문서 정리를 지체하였고, 분리한 문서를 빠르게 삭제 및 이관하지 않았다. 문서 이관을 매니징한 나는 일을 끝맺지 못하고 시간을 지체했다. 결론적으로는 운영팀 주니어는 외부 문서를 공유하면서 내부 문서까지 함께 공유해버리게 된 상황이 되었다.
위와 같은 사례는 1990년 발표된 '리즌의 스위스 치즈 모델'로 설명해주고 있다.
에멘탈 치즈의 구멍은 항상 같은 위치에 있는 것이 아니라, 치즈가 만들어지는 과정에서 무작위로 생긴다. 마찬가지로, 사고를 유발할 수 있는 잠재적 결함은 항상 같은 위치에 있는 것이 아니라, 다양한 위치에서 발생할 수 있다는 것을 의미한다. 스위스 치즈 모델은 사고의 원인을 인적 과실(Human error)뿐만 아니라 조직적인 요인(Organizational factor)까지 확대해야 한다는 점에서 기존의 사고 발생 모델과 차별화되는데 기존의 사고 발생 모델이 주로 인적 과실에 초점을 맞추었던 것과 달리 스위스 치즈 모델은 인적 과실뿐만 아니라, 조직적인 요인, 시스템적인 요인, 환경적인 요인 등 다양한 요인이 복합적으로 작용하여 사고가 발생할 수 있다고 설명한다.
인간 오류는 보통 나쁜 디자인의 결과다. 그것은 시스템 오류로 불려야 할 것이다. 인간은 계속 잘못을 저지른다. 그것은 우리 본성의 내재적 부분이다. 시스템 디자인은 이것을 고려해야 한다. 사람에게 비난을 고정시키는 것은 편안한 진행 방식일지 모르지만, 단 한 사람의 단 하나의 행동이 참사를 일으킬 수 있다면 그 시스템는 왜 디자인되었는가? 더 안 좋게도, 근본적인 기저 원인을 고치지 않으면서 사람을 탓하는 것은 문제를 고칠 수 없다. 같은 오류는 다른 누군가에 의해 반복되기 쉽다.
<도널드 노먼의 디자인과 인간 심리> 도널드 노먼, p.95~96
디자이너가 고객의 문제를 해결하거나 사용성 좋게 화면을 구성하는 것 모두 중요하다. 다만 내가 설계한 시스템이 사고를 일으킬 수도, 예방할 수도 있는 역할임을 인지하고 디자인했으면 한다.
참고
국토연구원 국토용어사전 '스위스 치즈 모델(Swiss Cheese Model)'
책 <도널드 노먼의 디자인과 인간 심리> 학지사 / 도널드 노먼 저
https://www.yes24.com/Product/Goods/32193000
