내가 처음 시스템 안전(System Safety)이라는 세계에 발을 들였을 때 가장 놀라웠던 건, 산업마다 안전의 얼굴이 전혀 다르다는 사실이었다. 철도 산업은 가장 전형적으로 시스템 안전이 깊게 뿌리내린 분야다. 달리는 열차는 수많은 신호와 제어장치 위에서 움직이고, 단 한 번의 오류가 수백 명의 생명을 앗아갈 수 있기에, CENELEC의 규격이 마치 신호의 헌법처럼 작동하며, 한 치의 오차도 없는 제어를 요구한다. 항공에서는 ARP4754, DO-178C 같은 기준이 소프트웨어의 신뢰성을 끝없이 증명하도록 만든다. 그리고 원자력 분야의 IAEA 안전 가이드라인이 뼈대를 이룬다. 공통점은 ‘사람이 직접 조종할 수 없을 만큼 복잡한 체계’일수록 시스템 안전이 더욱 필수적이라는 점이다.
하지만 방위산업에서 특히 흥미로운 점은, Mil-STD-882E라는 이름의 표준이 무기 체계를 설계하는 모든 과정에 스며들지만, 시스템 안전이 단순한 ‘보호막’으로 머무르지 않는다는 것이다. 평화 시와 전쟁 시, 같은 무기 체계라 하더라도 안전의 우선순위와 의미는 전혀 다르게 바뀐다. 어떤 순간에는 사람을 살리는 울타리가 되지만, 또 다른 순간에는 임무 성공을 위해 과감히 걷어내야 하는 장벽이 된다.
오랜 시간 이 분야에서 일하며 내가 직접 보고 배운 건 바로 이 “전쟁과 평화, 두 얼굴의 시스템 안전”이었다. 그 이야기를 나눠보려 한다.
미국 방위산업의 표준인 Mil-STD-882E는 무기와 방어 체계 전반에 걸쳐 안전을 확보하는 방법을 규정한다. 하지만 여기에는 독특한 긴장이 숨어 있다.
군사 체계 속에서 ‘시스템 안전(System Safety)’은 늘 양면성을 갖는다. 평화 시와 전쟁 시, 같은 무기 체계라 하더라도 안전에 요구되는 기준과 우선순위가 크게 달라지기 때문이다. 이를 이해하는 순간, 우리는 안전이 단순한 기술적 장치가 아니라 상황적·전략적 개념임을 깨닫게 된다.
평화 시의 군대는 민간과 닮아 있으며 사실상 거대한 ‘안전 관리자’다. 실제 전투보다는 훈련, 시험, 유지보수가 주 업무이기에 시스템 안전의 목적은 전투 성과보다 사고 예방과 인명 보호에 있다. 그러므로 탄약고 관리부터 시험장 안전 규정까지, 모든 것은 ‘사고가 일어나지 않도록’ 설계된다.
중점 가치: 군인 개개인의 생명 보호, 훈련 중 발생할 수 있는 사고 방지, 무기 시험 과정에서의 환경 피해 최소화.
안전 메커니즘: 장비의 과부하 방지 시스템을 엄격히 유지 자동 정지(Shutdown) 로직을 활성화하여 위험 상황에서 장비를 즉각 멈춤 탄약·연료·폭발물 저장 시설에 대해 민간 규제에 가까운 안전 기준 적용
운영 방식: 철저한 체크리스트, 반복된 리스크 분석, 사고 발생 시 조사위원회 가동 → 민간 산업과 매우 유사한 구조
즉, 평화 시의 시스템 안전은 “최대한 다치지 않고 준비하는 것”을 목표로 한다.
예시.
2007년 한국 공군의 F-15K 추락 사고는 훈련 비행 중 항공기 제어 장치의 결함과 조종사 대응 한계가 겹쳐 발생했다. 이때에도 기체에는 여러 자동 안전장치와 비상 탈출 시스템이 탑재돼 있었다. 그러나 훈련 환경에서는 “실전 상황을 가정한 고난도 조작”이 필요했고, 이 과정에서 안전장치만으로는 사고를 막을 수 없었다.
이처럼 평화 시에도 안전을 최우선으로 두지만, 訓練(훈련)의 본질적 위험은 남아 있다. 안전은 사고의 가능성을 줄일 뿐, 완전히 지우지는 못한다.
그러나 전쟁이 발발하면 우선순위가 달라지며, 같은 무기 체계라도 그 목적이 달라진다. 목표를 달성하기 위한 작전 성공이 가장 중요한 가치가 되고, 평화 시에 철저히 관리되던 일부 안전 시스템은 의도적으로 제거되거나 완화된다. 예를 들어, 특정 무기 시스템에 과부하 방지 장치가 평화 시에는 작동하도록 설정되지만, 전쟁 중에는 ‘작동 정지’라는 위험보다 ‘사거리 확보’라는 임무가 더 우선되기에 그 장치가 무력화되기도 한다. 그러므로, 이때의 시스템 안전은 사람을 보호하기 위한 울타리라기보다는, 작전을 성공시키기 위한 도구로 재편된다.
중점 가치: 승리, 작전 성공, 임무 완수. 인명 보호는 여전히 중요하지만 목표 달성 뒤로 밀린다.
안전 메커니즘의 변화: 과부하 방지 장치가 해제되기도 함 → 무기의 한계 성능을 최대치로 끌어올리기 위해 자동 정지 로직이 비활성화됨 → “멈추는 것”보다 “끝까지 발사하는 것”이 더 중요 재보급, 정비 과정에서 평화 시의 안전 규제가 일부 무시됨 → 속도와 효율이 우선
운영 방식: 리스크를 완전히 제거하기보다는, **“받아들일 수 있는 위험(acceptable risk)”**을 정의하고 작전에 반영
즉, 방위산업에서 전쟁 시의 시스템 안전은 단순히 사고 방지의 기술이 아니라, 국가적 목표와 상황에 따라 조율되는 전략적 도구로 기능하며 “싸우면서도 버틸 수 있는 위험 수준을 관리하는 것”이 된다.
예시.
전쟁 상황에서는, 안전장치가 오히려 “임무 달성의 장애물”로 간주되기도 한다.
걸프전(1991년) 당시, 미군은 패트리어트(Patriot) 미사일 시스템을 대거 운용했다. 평화 시라면 미사일 발사 장치는 일정 시간이 지나면 자동으로 자체 점검 및 리셋(Reset)을 하도록 설계되어 있었다. 하지만 전쟁 중에는 이 기능이 전투 효율을 떨어뜨린다는 이유로 해제되었다. 그 결과, 과열과 소프트웨어 타이밍 오류가 누적되어, 사우디 다란(Dhahran) 미군 기지에서는 스커드 미사일 요격 실패로 미군 28명이 사망하는 참사가 발생했다.
또 다른 예로, 이라크전(2003년)에서는 미군이 전차 포탄의 ‘안전 폭발거리 장치(Safe Arming Distance Device)’를 제한적으로 운용했다. 평화 시에는 아군을 보호하기 위해 포탄이 일정 거리 이상 날아가야만 폭발할 수 있게 설계되어 있었지만, 시가전 상황에서는 너무 가까운 거리의 교전이 빈번해지면서 이 장치가 해제되거나 무력화되었다. 아군 오발 가능성은 높아졌지만, 작전 성공을 위해 위험을 감수한 것이다.
이 대비는 때로는 아이러니를 낳는다. 평화 시에 아무리 안전을 중시해도, 정작 전쟁이 터지면 그 장치들이 발목을 잡을 수 있다. 반대로 전쟁만을 상정해 설계한다면, 평화 시에는 사고가 끊이지 않을 것이다.
이 아이러니는 우리에게 중요한 질문을 던진다.
“안전은 어디까지 지켜야 하는가? 그리고 언제 포기할 수 있는가?”
평화 시에는 이 질문이 단순하다. 답은 늘 “끝까지 지켜야 한다.”
그러나 전쟁이 시작되면 답은 복잡해진다. 안전을 지키지 못하면 사람이 죽는다. 하지만 임무를 포기하면 더 많은 사람이 죽을 수도 있다.
따라서 방위산업에서의 시스템 안전은 단순히 규정을 적용하는 문제가 아니라, 상황에 따라 끊임없이 조율되는 전략적 의사결정이다. 안전이 “절대적인 것”이 아니라 “상황 속에서 선택되는 것”임을 가장 적나라하게 보여주는 무대가 바로 전쟁이다.
우리가 열차를 타고, 비행기를 타고, 혹은 뉴스를 통해 첨단 무기 체계를 접할 때, 그 뒤에는 반드시 시스템 안전이란 배우가 숨어 있다. 산업마다 표준의 이름은 다르고, 적용 방식도 다르지만 본질은 같다. 위험을 예상하고, 설계 단계에서 제거하며, 남은 위험을 관리한다.
다만 방위산업처럼 전쟁과 평화라는 이중 무대가 존재할 때, 시스템 안전은 단순한 보호막이 아니라 전략적 선택으로 변신한다. 그리고 바로 그 지점에서, 안전은 기술의 문제가 아니라 인간의 가치와 의사결정의 문제임을 드러낸다.