2006년, 전 세계 공항에는 하나의 새로운 규칙이 생겼다. 비행기에 탑승할 때 100ml 이상의 액체를 반입할 수 없다는 제한이었다. 이 규정은 단순한 불편함에서 나온 것이 아니었다. 9·11 이후 영국 히드로 공항에서 미국행 항공편을 대상으로 한 테러 계획이 적발되면서, 평범한 물병을 위장해 폭발성 액체를 기내로 반입하려 했던 시도가 밝혀졌고, 국제민간항공기구(ICAO)는 보안 규정을 대폭 강화했다. 그 결과 “100ml 규정”은 전 세계 항공 보안의 표준이 되었다. 흥미로운 점은 2026년 현재, 같은 공항에서 AI 기반 스캐너가 도입되며 이 규정이 점차 완화되고 있다는 사실이다. 기술이 위험을 더 정밀하게 식별하게 되면서, 과거의 일괄 금지는 점차 선별적 통제로 바뀌고 있다.
이 변화는 한 가지 분명한 방향을 보여준다. 안전은 위험을 단순히 제거하는 방식이 아니라, 그것을 이해하고 통제하는 방식으로 진화한다는 점이다. 그리고 지금 항공 안전에서 가장 자주 언급되는 대상은 더 이상 액체가 아니라 보조배터리다. 비행기에 탑승하면 우리는 늘 같은 안내를 듣는다. “보조배터리는 위탁 수하물로 부치지 말고, 기내에 휴대해 주십시오.” 대부분의 승객에게 이 문장은 단순한 규칙처럼 들리지만, 시스템 안전의 관점에서 보면 이는 매우 의도적인 설계 결정이다.
심지어 일부 항공사에서는 보조배터리의 기내 반입 자체를 금지하기도 했다. 이는 단순한 편의 문제가 아니라, 배터리의 잠재적 위험을 사전에 통제하려는 조치이며, 항공사가 위험 관리의 수준을 어떻게 정의하고 있는지를 보여주는 사례다.
보조배터리라는 위험은 사라진 것이 아니다. 오히려 존재를 인정한 상태에서, 문제가 발생했을 때 가장 빠르게 인지하고 대응할 수 있는 위치로 옮겨진 것이다. 즉, 항공 시스템은 위험을 제거하지 못한다는 현실을 전제로, 그것을 통제 가능한 구조 안에 배치한다. 이 작은 차이는 안전을 바라보는 관점을 근본적으로 바꾼다. 위험은 사라지지 않는다. 다만, 어디에 놓이느냐에 따라 결과가 달라질 뿐이다. 그리고 바로 이 지점에서 System Hazard Analysis(SHA)의 본질이 드러난다.
System Hazard Analysis(SHA)는 흔히 위험을 나열하는 분석으로 오해되지만, 실제로는 훨씬 더 근본적인 작업이다. SHA는 시스템이 어떤 가정 위에서 안전하다고 믿고 있는지를 드러내고, 그 가정이 깨질 경우 어떤 일이 발생하는지를 구조적으로 이해하는 과정이다. 여기서 중요한 것은 개별 구성 요소가 아니라, 기술, 인간, 환경이 상호작용하는 전체 시스템이다. 특히 항공기와 같이 복잡한 환경에서는 동일한 위험 요소라도 맥락에 따라 완전히 다른 결과를 초래할 수 있다. 따라서 SHA는 단순히 “무엇이 잘못될 수 있는가”를 묻는 것을 넘어, “그 실패가 어떻게 시작되고, 어떻게 확산되며, 어디까지 영향을 미치는가”를 추적하는 사고방식이다.
Note 정리.
System Hazard Analysis(SHA)는 단순한 위험 목록 작성이 아니다.
시스템이 어떤 조건에서, 어떻게 실패할 수 있는지를 구조적으로 이해하는 과정이다.
좋은 SHA는 다음 질문들에 답한다.
무엇이 잘못될 수 있는가? (Hazard Identification)
그 결과는 얼마나 심각한가? (Severity)
얼마나 자주 발생할 수 있는가? (Likelihood)
어떻게 통제할 수 있는가? (Risk Control)
그 통제가 실제로 작동하는가? (Verification)
중요한 점은, SHA는 “제품”이 아니라 “운용 환경을 포함한 전체 시스템”을 대상으로 해야 한다는 것이다.
보조배터리에 사용되는 리튬이온 배터리는 높은 에너지 밀도를 제공하는 대신, 특정 조건에서 열폭주라는 치명적인 특성을 가진다. 내부 단락이나 외부 압력, 과충전, 또는 제조 결함이 발생하면 셀 내부에서 급격한 발열이 시작되고, 이는 짧은 시간 안에 화재나 폭발로 이어질 수 있다. 이러한 특성은 이미 잘 알려져 있으며, 기술적으로도 충분히 이해된 영역이다. 그러나 문제는 이 배터리가 비행기라는 특수한 환경에 들어오는 순간 발생한다. 항공기 객실은 밀폐된 공간이며, 제한된 자원으로 화재를 대응해야 하고, 외부 지원 없이 문제를 해결해야 하는 구조를 가진다. 이처럼 동일한 배터리라도 지상과 공중에서 전혀 다른 위험을 갖게 되며, 이 차이가 바로 시스템 수준에서 접근해야 하는 이유다.
기내 보조배터리에 대한 SHA를 수행하기 위해서는 먼저 시스템을 정의해야 한다. 이 시스템은 단순한 배터리가 아니라, 승객이 사용하는 보조배터리, 이를 둘러싼 객실 환경, 그리고 이를 관리하는 승무원과 절차까지 포함한다. 이러한 전체 구조 안에서 위험을 식별하면, 내부 단락으로 인한 발열, 외부 충격에 따른 셀 손상, 과충전으로 인한 열폭주, 그리고 여러 배터리가 동시에 존재할 때 발생하는 화재 확산과 같은 시나리오가 도출된다.
Step 1. System Definition — 시스템 정의
분석 대상 시스템은 다음과 같이 정의할 수 있다.
시스템: 항공기 객실 내 승객이 휴대하는 보조배터리
구성 요소: - 보조배터리 (셀, 보호회로) - 승객 (사용자) - 항공기 객실 환경 - 승무원 대응 시스템
핵심: 기술 + 인간 + 환경을 모두 포함해야 한다
Step 2. Hazard Identification — 위험 식별
가능한 Hazard를 도출하면 다음과 같다.
- 내부 단락 → 발열 → 화재
- 외부 압력/충격 → 배터리 손상
- 과충전 → 열폭주
- 저품질 제품 → 보호회로 실패
- 다수 배터리 → 화재 확산
중요 포인트: “단일 고장”이 아니라 “연쇄 반응”을 고려해야 한다
하지만 진짜 중요한 단계는 이 위험을 “과정”으로 이해하는 것이다. 예를 들어, 좌석 사이에 보조배터리가 끼이면서 압력이 가해지고, 그로 인해 내부 구조가 손상되며, 이후 단락이 발생하고 열폭주가 시작되는 일련의 흐름은 단순한 고장이 아니라 연쇄적인 실패다. 이 과정에서 초기 징후가 얼마나 빠르게 인지되는지, 그리고 대응까지 얼마나 시간이 걸리는지가 사고의 결과를 결정짓는다.
Step 3. Hazardous Scenario — 사고 시나리오
단순한 Hazard는 의미가 없다.
시나리오로 연결해야 한다.
예시:
- 좌석 사이에 보조배터리 끼임
- 외부 압력으로 셀 손상
- 내부 단락 발생
- 열폭주 시작
- 인지 지연
- 화재 확산
여기서 핵심은: 사고는 항상 “과정”으로 발생한다
위험 평가 단계에서는 확률과 심각도를 함께 고려한다. 보조배터리 사고는 빈번하지 않지만, 한 번 발생하면 기내 화재로 이어질 수 있기 때문에 결과의 심각도가 매우 높다. 이러한 특성 때문에 항공 시스템은 낮은 확률이라도 통제 불가능한 결과를 초래하는 위험은 허용하지 않는 방향으로 설계된다. 따라서 핵심은 위험을 제거하는 것이 아니라, 그 위험이 발생했을 때 통제 가능한 상태로 유지하는 것이다.
Step 4. Risk Assessment — 위험 평가
위험은 다음 두 요소로 평가한다.
- Severity (심각도): 매우 높음 (기내 화재)
- Likelihood (발생 가능성): 낮음 ~ 중간
결론: Low probability, High consequence → 반드시 통제 필요
Step 5. Risk Control — 위험 통제 설계
통제 방법은 크게 세 가지로 나눌 수 있다.
1) Hazard 제거 (Elimination)
- 위험한 배터리 사용 금지 → 현실적으로 불가능
2) Hazard 감소 (Reduction)
- 배터리 품질 기준 강화
- 보호 회로 개선
3) Hazard 통제 (Control)
- 기내 반입 의무화
- 위탁 수하물 금지
- 승무원 대응 절차
핵심: 완전 제거가 불가능하기 때문에 ‘통제 전략’이 중심이 된다
Step 6. Verification — 통제가 작동하는가
가장 자주 놓치는 단계다.
확인해야 할 질문:
- 승무원이 실제로 대응 가능한가?
- 초기 화재를 몇 초 내에 인지할 수 있는가?
- 다중 사고 발생 시 대응 가능한가?
통제는 “존재”가 아니라 “작동 여부”로 평가해야 한다
현재 항공사들이 적용하고 있는 규정은 이러한 분석의 결과다. 보조배터리를 위탁 수하물로 보내지 못하게 하는 이유는 화재가 발생했을 때 이를 즉시 감지하고 대응할 수 없기 때문이다. 반대로 기내 반입을 허용하는 것은 승무원과 승객이 이상 징후를 빠르게 인지하고 초기 대응을 할 수 있기 때문이다. 즉, 이 정책은 위험을 제거하는 것이 아니라, 위험을 관리 가능한 위치로 이동시키는 전략이다.
그러나 이러한 통제에도 불구하고 한계는 존재한다. 승객의 행동은 예측하기 어렵고, 손상된 배터리를 계속 사용하는 경우도 있다. 또한 시장에는 다양한 품질 수준의 제품이 존재하며, 동일한 외형이라도 내부 안전성은 크게 다를 수 있다. 더 나아가, 여러 개의 배터리가 동시에 존재하는 환경에서는 단일 사건이 아닌 복합적인 사고로 확산될 가능성도 존재한다. 이러한 요소들은 현재의 통제가 완전하지 않음을 보여주며, 향후에는 설계 수준에서의 보완, 예를 들어 좌석 구조 개선이나 실시간 감지 기술 도입과 같은 접근이 필요함을 시사한다.
Note 정리.
현재 항공사 조치를 보면 다음과 같다:
- 기내 반입 의무
- 위탁 수하물 금지
- 용량 제한
- 단자 보호 권고
장점
- 초기 대응 가능성 확보
- 탐지 가능성 증가
한계
- 승객 행동 통제 어려움
- 저품질 제품 관리 불가
- 다중 이벤트 대응 부족
추가적으로 필요한 방향:
- 보조배터리 인증 체계 강화
- 기내 충전 사용 제한 정책 검토
- 좌석 구조 설계 개선 (끼임 방지)
- 승무원 대응 훈련 고도화
- 실시간 온도 감지 기술 도입
핵심: 현재는 “관리” 수준, 앞으로는 “설계 기반 통제” 필요
기내 보조배터리는 금지되지 않았다. 대신 그 위치가 바뀌었다. 이 단순한 변화는 시스템 안전의 본질을 정확히 보여준다. 우리는 위험을 완전히 제거할 수 없으며, 대신 그것을 이해하고 통제 가능한 구조 안에 두어야 한다. System Hazard Analysis는 바로 이 과정을 가능하게 하는 도구다. 그것은 위험을 찾는 것이 아니라, 시스템이 어디까지 그 위험을 감당할 수 있는지를 명확히 드러내는 작업이다.
결국 중요한 것은 기술이 아니라 가정이다. 우리는 지금 이 시스템이 안전하다고 믿고 있지만, 그 믿음이 어떤 조건 위에 서 있는지를 끊임없이 질문해야 한다. 그리고 그 가정이 무너지는 순간을 대비하지 않는 한, 사고는 언제든 다시 시작될 수 있다.