놀이공원에서의 하루는 언제나 즐거워야 한다. 누군가에게는 가족과의 소중한 추억이고, 누군가에게는 오랜만의 휴식이다. 호주 퀸즐랜드의 드림월드(Dreamworld) 역시 그런 장소였다. 사람들은 웃으며 놀이기구에 오르고, 아이들은 물소리에 환호했다.
그날도 평소와 다를 것 없는 하루였다. 그러나 2016년 10월 25일 오후, 드림월드의 ‘Thunder River Rapids Ride’ — 물살을 따라 흐르던 급류 래프팅 코스 — 가 순식간에 비극의 현장으로 변했다. 펌프의 역류로 보트 한 대가 전복되었고, 탑승객 네 명이 컨베이어 벨트에 끼여 목숨을 잃었다. 단 몇 초 만에, 즐거움의 비명은 절규로 바뀌었다.
그 당시 나는 브리즈번에서 시스템 안전(System Safety) 엔지니어로 일하고 있었다. 사고 직후, 드림월드 사고조사팀의 일원으로 현장을 방문했던 기억이 아직도 선명하다. 놀이기구는 멈춰 있었고, 공기는 무겁게 가라앉아 있었다. 바닥에는 물자국과 발자국, 급하게 붙여진 현장 테이프가 뒤엉켜 있었다. 모두가 알고 있었다. 이 사고는 단순한 ‘기계의 고장’이 아니라, 시스템 어딘가에서 사람과 절차가 멈춰버린 결과라는 것을.
조사 결과는 그것을 분명히 보여주었다. 정비 기록은 불완전했고, 비상정지 버튼은 운영자의 시야에서 벗어나 있었다. 경고 신호는 있었지만, 그 신호를 ‘위험’으로 인식하고 대응하는 절차는 없었다. 더욱 충격적인 사실은, 이와 유사한 사건이 이미 여러 차례 발생했음에도 불구하고 “이번에도 괜찮았으니 다음에도 괜찮을 것”이라는 안일한 문화가 조직 안에 깊게 자리 잡고 있었다는 점이었다.
그날 이후, 나는 한 가지 질문을 떨칠 수 없었다.
“도대체 무엇이 그들을 안전하게 지켜주지 못했을까?”
그리고 그 질문의 답을 찾는 과정에서, 나는 O&SHA(Operating & Support Hazard Analysis) — 운용과 지원 단계에서의 위험 분석 — 의 중요성을 다시 생각하게 되었다.
“안전은 설계로 시작하지만, 운용으로 완성된다.”
드림월드의 사고는 이 문장의 진실을 증명한 사건이었다. 서류상으로는 모든 것이 ‘안전’하게 적혀있었으며, 설계 검토도 있었고, 정비 절차도 존재했다. 또한 비상정지 버튼도 규정대로 설치되어 있었다. 하지만 그 모든 것은 ‘현실의 맥락’ 속에서는 작동하지 않았다. 운영자는 그 버튼을 눌러야 하는 순간에, 손이 닿지 않았다는 부분과 정비팀은 기록을 남겼지만, 검증 절차는 없었다는 진실, 그리고 운용 절차는 존재했지만, 교육은 형식적이었다는 사실이 사건을 사고로 밀어 넣었다.
바로 여기서 O&SHA(Operating and Support Hazard Analysis)가 등장한다. 드림월드 사고는 O&SHA를 통해 시스템이 “실제로 운용되고 유지되는 과정”에서 어떤 위험이 새로 나타나는지를 찾는 분석을 자세히 보여준다.
Note.
O&SHA는 시스템이 현실의 운영 환경에서 어떻게 사용되고 유지되는지를 분석하는 절차다. 설계 단계에서 아무리 완벽해 보여도, 운영자 교육, 정비 절차, 비상 대응, 경고 체계가 제대로 작동하지 않으면 시스템은 곧 위험으로 변한다.
요약하자면, O&SHA는 이렇게 묻는다.
“이 시스템을 실제로 사람이 사용할 때, 위험은 어떻게 다시 태어나는가?”
O&SHA는 이렇게 묻는다.
“이 시스템은 현장에서 정말 그렇게 작동하는가?”
“운영자와 정비자가 실제로 그 절차를 따를 수 있는가?”
“훈련이, 장비가, 시간 압박이 그들을 안전하게 지켜주는가?”
드림월드 사고의 각 단계를 O&SHA의 시선으로 다시 그려보면 이렇다.
운행 단계: 컨베이어의 속도는 일정하지 않았고, 펌프의 역류가 감지됐을 때 즉각적인 정지 절차가 없었다. 비상정지 버튼은 두 군데 있었지만, 한 곳은 시야에서 보이지 않았고 다른 한 곳은 접근하기 어려웠다.
운용 단계 : 운행 중 탑승
잠재 위험 (Hazard) : 보트 전복 및 끼임
원인 : 펌프 역류, 컨베이어 속도 불균형
결과 : 탑승객 사망
기존 통제 : 비상정지 버튼, 시각 모니터
통제의 한계 : 버튼 위치 부적절, 반응 시간 지연
운용 단계 : 기구 정지/비상 상황
잠재 위험 (Hazard) : 비상정지 실패
원인 : 운영자의 시야 제한, 위치 부적합
결과 : 기계 지속 작동
기존 통제 : 현장 매뉴얼 존재
통제의 한계 : 교육 부족, 절차 미준수
정비 단계: 점검표는 존재했지만, 검증은 없었다. “기록을 남겼다”는 사실이 “점검이 완료됐다”는 증거로 오해되고 있었다.
운용 단계 : 정비 및 점검
잠재 위험 (Hazard) : 장비 점검 누락
원인 : 기록 부정확, 관리 체계 미비
결과 : 고장 조기 발견 실패
기존 통제 : 정기 점검 일정
통제의 한계 : 실행 및 검증 부족
운영 교대: 인수인계 절차는 구두로 이루어졌고, 상태 기록은 비체계적이었다. 한 교대의 판단이 다음 교대의 안전을 위협할 수 있었다.
운용 단계 : 운영자 교대
잠재 위험 (Hazard) : 인수인계 오류
원인 : 절차 비표준화, 인력 교체 빈번
결과 : 상태 정보 누락
기존 통제 : 구두 인수인계
통제의 한계 : 공식 문서 미흡
비상 대응: 사고 발생 후 구조 지연이 발생했다. 경보 전달 체계가 명확하지 않았고, 어떤 버튼이 전체 정지를 의미하는지조차 일부 인원이 혼동하고 있었다.
운용 단계 : 비상 대응
잠재 위험 (Hazard) : 구조 지연
원인 : 경보 전달체계 미흡
결과 : 추가 피해 발생
기존 통제 : 내부 연락망
통제의 한계 : 시스템적 비상체계 부재
이 모든 것은 ‘설계의 결함’이 아니라 ‘운용의 결함’이었다.
조사 결과, 드림월드에는 형식적인 안전 절차가 존재했다. 운영 매뉴얼도 있었고, 정비 주기도 설정되어 있었으며, 비상정지 버튼도 규정에 따라 설치되어 있었다.
겉보기에는 모든 통제가 제자리에 있었던 셈이다. 하지만 문제는 그 절차가 ‘현실에서 작동하지 않았다’는 점이었다. 운영자는 매뉴얼을 알고 있었지만, 훈련은 형식적이었고, 정비 기록은 남았지만, 그 기록이 실제 점검의 증거는 아니었다. 또한 비상정지 버튼은 존재했지만, 정작 위급한 순간에는 손이 닿지 않았다. 이처럼 ‘존재하는 통제’와 ‘작동하는 통제’는 전혀 다른 것이다.
O&SHA(Operating & Support Hazard Analysis)가 주목하는 지점이 바로 여기에 있다.
“서류상 존재하는 통제가, 실제 운용에서도 유효한가?”
드림월드의 사고는 그 질문에 명확히 ‘아니요’라고 대답했다. 종이 위의 절차는 있었지만, 사람의 행동 속에서는 작동하지 않았다.
운영자는 절차를 몰라서가 아니라, 그 절차가 현실의 시간·공간·상황과 맞지 않았기 때문에 제대로 수행할 수 없었다.
조사 보고서의 한 문장은 이 사실을 가장 정확하게 표현했다.
“안전 절차는 존재했지만, 운영자에게 전달되지 않았다.”
이 한 문장이 드림월드의 모든 문제를 함축하고 있었다. 서류 속의 안전은 완벽했지만, 운용의 안전은 부재했던 것이다.
O&SHA의 목적은 바로 이 간극을 메우는 데 있다. ‘존재하는 절차’를 ‘작동하는 절차’로 바꾸는 것.
그리고 그 효과는 문서 검토로는 입증되지 않는다. 현장에서, 사람의 행동 속에서만 검증된다.
안전은 문장으로 쓰이지 않는다. 손끝에서 완성되고, 눈앞의 상황 속에서 살아 움직인다는 걸 인지해야 한다. O&SHA는 그 ‘살아있는 안전’을 확인하기 위한 유일한 과정이다.
O&SHA의 시선으로 드림월드 사고를 바라보면, 그것은 단순히 한 놀이기구의 기술적 결함이 아니라 운용 체계의 실패였다. 시스템은 설계 단계에서 안전하게 만들어졌다고 믿었지만, 그 안전은 실제 운용의 현실 속에서 살아 있지 않았으며, 절차는 문서로 존재했지만, 그 문서를 이해하고 따르는 사람들의 행동 속에서는 작동하지 않았다. 안전 절차가 실제 사람의 판단, 훈련, 행동과 맞닿지 않으면, 그것은 그저 ‘좋은 의도’로 남을 뿐이다. O&SHA가 강조하는 것은 바로 그 지점 — 설계된 안전이 운영 속에서도 유효한가 하는 질문이다.
운영자의 훈련이 실제 상황을 반영하고 있는가?
비상정지 장치는 손이 닿는가?
정비 기록은 검증되고 있는가?
이 단순한 질문들에 ‘예’라고 답할 수 없다면, 그 시스템은 이미 위험을 품고 있는 것이다.
드림월드 사고 이후, 운영 매뉴얼은 전면 개정되었고, 교육 과정은 강화되었다. 비상정지 버튼은 즉각적으로 손이 닿는 위치로 옮겨졌으며, 정비 기록은 디지털화되어 실시간 검증이 가능해졌다. 그러나 그 모든 변화는 네 명의 생명을 잃은 후에야 이루어졌다. 안전의 교훈은 언제나 비싼 대가를 치르고 나서야 새겨진다.
Operating & Support Hazard Analysis — O&SHA는 그 진실을 잊지 않게 만드는 방법론이다. 단순한 분석 절차가 아니며, 설계자가 아닌, 운용자의 시선으로 시스템을 다시 해석하는 과정이다. 다시 말해 O&SHA는 설계와 운영, 기술과 인간, 매뉴얼과 현실을 이어주는 다리다.
드림월드의 비극은 지금도 우리에게 묻고 있다.
“당신의 시스템은, 오늘도 현장에서 안전하게 운용되고 있는가?”
O&SHA의 목적은 그 질문에 ‘예’라고 답할 수 있도록 만드는 것이다. 서류의 언어가 아니라, 현장의 언어로. 그리고 그곳에서 비로소 ‘운용의 안전’이 완성된다.