얼마 전 블로그에 올라온 글에서 이케아 설명서에 대한 흥미로운 이야기를 접한 적이 있다. 과거 이케아 가구는 설명서를 제대로 읽지 않아 잘못 조립되는 경우가 많았고, 이를 줄이기 위해 의도적으로 쓸모없는 부품을 하나 더 넣기 시작했다고 한다. 완성 후 남은 부품을 보고 당혹감을 느낀 소비자는 자연스럽게 설명서를 다시 펼쳐보게 되었으며, 그 과정에서 ‘올바르게 사용하는 방법’을 다시 확인하게 되었다. 설명서를 버리거나 무시하는 것이 편할 수는 있지만, 이케아는 사용자의 행동을 시스템 차원에서 유도함으로써 결과적으로 안전성과 완성도를 높였다. 이 사례는 안전이 개인의 주의나 선의에 의존해서는 확보되지 않으며, 사용 방식을 강제하는 절차와 구조가 있을 때 비로소 시스템의 속성이 된다는 점을 잘 보여준다.
이러한 관점에서 볼 때, 오송 지하차도 참사는 SOP 실패를 논의하기에 적합한 사례가 된다. 이 사고 역시 매뉴얼과 절차, 경보 체계가 존재했음에도 불구하고 “지금까지 괜찮았으니 이번에도 괜찮을 것”이라는 편의적 판단과 절차 무시에 의해 비극으로 이어졌다. 지하차도는 구조적으로 한 번 침수가 시작되면 회복이 불가능한 공간임에도, 운영·통제 SOP는 이를 자동으로 차단하지 못했고, 결과적으로 사람들은 위험한 시스템 안으로 계속 유입되었다. 해당 사례는 SOP가 없어서가 아니라, 있었지만 사용되지 않았고, 사용되더라도 위험을 멈추게 만들지 못했을 때 어떤 일이 벌어지는지를 보여주며, 참사는 SOP를 단순 문서가 아닌 시스템 안전 장치로 바라보게 설득한다.
2023년 7월, 충청북도 청주시 오송읍 궁평2지하차도에서 집중호우로 인한 대규모 침수 사고가 발생해 다수의 사망자가 발생했다. 사고 자체는 극한 강우라는 자연 현상에서 시작되었지만, 재난 조사 결과는 이를 단순한 천재지변으로 설명할 수 없음을 분명히 했다. 하천 제방 공사, 도로 통제, 재난 대응 체계가 서로 유기적으로 작동하지 못한 가운데, 위험 신호는 반복적으로 발생했음에도 불구하고 지하차도는 끝까지 개방된 상태로 유지되었다. 이 사고는 물리적 시설 붕괴 이전에 운영과 통제 SOP가 먼저 붕괴된 전형적인 시스템 실패 사례였다.
Note.
운영·통제 SOP의 정의와 역할
도로·교통 분야에서 운영·통제 SOP는 단순히 차량 흐름을 관리하는 절차가 아니라, 환경 변화에 따라 위험 구간을 선제적으로 차단하고 인명 피해를 예방하기 위한 핵심 안전 장치다. 특히 지하차도와 같은 구조물은 침수 시 회복 가능성이 거의 없기 때문에, SOP는 사후 대응이 아니라 사전 차단을 중심으로 설계되어야 한다. 이때 SOP의 역할은 현장 담당자의 경험이나 판단에 맡기는 것이 아니라, 특정 조건이 충족되면 자동적으로 통제와 우회 조치가 이루어지도록 하는 데 있다. 이러한 관점에서 운영·통제 SOP는 재난 관리 체계의 말단 문서가 아니라, 시스템 안전을 구현하는 실행 계층이다.
오송 지하차도 사고 당시, 위험 신호는 이미 충분히 존재하고 있었다. 기상청의 호우 경보는 반복적으로 발령되었고, 하천 수위는 지속적으로 상승하고 있었으며, 인근 제방 공사로 인해 구조적 취약성 또한 사전에 인지 가능한 상태였다. 문제는 위험 정보의 부재가 아니라, 이러한 정보들이 지하차도 통제라는 구체적 행동으로 전환되도록 설계된 SOP가 사실상 작동하지 않았다는 점이다. 도로 통제는 명확한 기준에 따라 자동적으로 이루어지지 않았고, 여러 기관과 조직 사이에서 책임과 권한이 분산된 상태에서 “아직은 괜찮다”는 암묵적 판단만 반복되었다. 그 결과 SOP는 위험을 차단하는 장치가 아니라, 위험을 인지한 채 아무 행동도 하지 않게 만드는 배경 문서로 전락했다.
1단계: SOP 설계 전제의 문제
― ‘있었는가’가 아니라 ‘무엇을 가정했는가’
오송 지하차도 사고 이전에도 도로 침수 대응과 집중호우 시 교통 통제에 관한 SOP와 매뉴얼은 분명 존재했다. 그러나 핵심 문제는 SOP의 유무가 아니라, 그것이 어떤 상황을 정상으로 가정하고 설계되었느냐였다. 기존 SOP는 일반적인 강우 상황을 기준으로 작성되어 있었으며, 지하차도처럼 침수가 시작되는 순간 위험이 급격히 증폭되는 구조물의 특성을 충분히 반영하지 못했다. 절차는 대부분 “물이 차오른 이후 어떻게 대응할 것인가”에 초점을 맞추고 있었고, “물이 차오르기 전에 언제, 누가, 어떤 기준으로 통제를 강제할 것인가”는 명확히 정의되지 않았다. 이 단계에서 SOP는 이미 예방적 안전 장치라기보다 사후 대응 지침에 가까운 성격을 갖고 있었다.
2단계: 위험 조건의 비정형성
― 통제 기준이 수치와 트리거로 고정되지 않다
효과적인 SOP는 특정 조건이 충족되면 개인의 판단을 배제하고 행동을 강제해야 한다. 그러나 오송 지하차도와 관련된 운영·통제 SOP에는 “이 수위 이상이면 즉시 통제”, “이 경보 단계에서는 무조건 차단”과 같은 명확하고 정량화된 기준이 존재하지 않았다. 호우 경보, 하천 수위 상승, 제방 공사로 인한 취약성이라는 위험 신호는 각각 따로 존재했지만, 이 신호들이 하나의 통제 트리거로 결합되지 않았다. 그 결과 위험은 인지되었지만, 결정으로 전환되지 못했고, SOP는 위험을 자동으로 차단하는 시스템이 아니라 위험을 해석해야 하는 사람을 남겨두는 구조가 되었다.
3단계: 책임과 권한 분산에 따른 결정 지연
― SOP가 멈춤을 강제하지 못하다
운영·통제 SOP에서 또 하나의 치명적인 문제는 책임과 권한이 명확히 수렴되지 않았다는 점이다. 지하차도 통제 권한은 여러 기관과 부서로 나뉘어 있었고, SOP는 누가 최종적으로 차단을 결정하고 실행해야 하는지를 단일하게 규정하지 않았다. 이로 인해 각 주체는 위험을 인지하면서도, 결정은 다른 주체가 내릴 것이라는 기대 속에 머물렀다. SOP가 결정을 강제하지 못하는 구조에서는 조직 전체가 자연스럽게 “조금 더 지켜보자”는 방향으로 수렴하게 된다. 이 단계에서 SOP는 안전을 앞당기는 장치가 아니라, 아무도 먼저 멈추지 않게 만드는 구조적 합리화 장치로 작동했다.
4단계: 현장 적용 단계에서의 무력화
― SOP는 있었지만, 행동은 요구되지 않았다
집중호우가 지속되고 수위가 빠르게 상승하는 동안에도 지하차도는 개방된 상태로 유지되었다. 이는 현장 담당자가 SOP를 몰랐기 때문이 아니라, SOP가 특정 행동을 요구하지 않았기 때문이다. 통제 여부는 끝까지 ‘상황 판단’의 영역에 남아 있었고, 명확한 중단 기준이 없는 상태에서 현장은 불확실성과 시간 압박에 노출되었다. 급변하는 환경, 제한된 시야, 즉각적인 결정이 요구되는 조건 속에서 SOP는 현장 적용성을 전혀 갖추지 못했고, 결과적으로 참고 자료 이상의 의미를 상실했다.
5단계: 방어선 상실과 시스템 붕괴
― 마지막 안전 장치의 실패
지하차도는 구조적으로 침수가 시작되면 탈출이 극도로 어려운 공간이며, 따라서 운영·통제 SOP는 사실상 마지막 방어선이었다. 그러나 이 방어선은 작동하지 않았다. 차량은 계속 유입되었고, 위험 구간은 차단되지 않았으며, 시스템은 되돌릴 수 없는 상태로 진입했다. 이 시점에서 사고는 더 이상 개인이나 현장의 문제가 아니라, 운영·통제 시스템 전체가 실패한 결과였다. 멈췄어야 할 시스템은 끝까지 멈추지 않았다.
6단계: 사후에야 명확해진 SOP의 한계
― 사고 이후에야 기준이 생기다
사고 이후 조사와 대책 수립 과정에서 많은 기준과 절차가 새롭게 정리되었다는 사실은 기존 SOP의 한계를 역설적으로 드러낸다. 사고 이전의 SOP는 모호했고, 사고 이후에야 “그때는 당연히 막았어야 했다”는 기준이 명확해졌다. 이는 기존 SOP가 위험을 예측하고 차단하는 도구가 아니라, 사고를 설명하기 위한 문서에 가까웠음을 의미한다. 진정한 SOP라면 사고 이전에도 동일한 판단과 행동이 자동적으로 나왔어야 한다.
7단계: 시스템 안전 관점에서의 종합 평가
― 오송 지하차도 참사의 본질
시스템 안전 관점에서 오송 지하차도 참사는 자연재해라기보다 운영·통제 SOP 실패로 인한 인재(人災)에 가깝다. 위험 신호는 존재했고, 물리적 차단도 가능했으며, 대응할 시간 역시 완전히 사라진 상태는 아니었다. 그럼에도 SOP는 위험을 행동으로 변환하지 못했다. 이 사례가 중요한 이유는 SOP가 단순히 존재하느냐의 문제가 아니라, 판단을 제거하고 행동을 강제하도록 설계되었는가가 안전의 핵심임을 명확히 보여주기 때문이다.
오송 지하차도 사고 당시, 집중호우로 인한 위험 신호는 이미 여러 차례, 그리고 충분히 명확하게 나타나고 있었다. 기상청의 호우 경보 발령, 하천 수위의 지속적인 상승, 인근 제방 공사로 인해 구조적으로 취약해진 환경은 모두 사전에 인지 가능한 위험 요소였다. 그러나 이러한 정보들이 지하차도 통제로 즉시 연결되도록 설계된 SOP는 존재하지 않았거나, 존재하더라도 실행을 강제할 수 없는 수준에 머물러 있었다. 그 결과 도로 통제 여부는 명확한 기준에 따라 자동으로 전환되지 않았고, 여러 기관에 분산된 책임과 권한 속에서 “아직은 괜찮다”는 암묵적 판단이 반복되었다. 담당자들은 절차를 어기고 있다는 인식 없이 SOP를 따르고 있다고 여겼지만, 실제로는 위험을 허용하도록 설계된 절차를 그대로 실행하고 있었던 셈이다.
이 사고에서 드러난 SOP 현실 적용 실패의 본질은, 절차가 재난의 실제 조건을 전제로 설계되지 않았다는 데 있다. 지하차도 침수는 예고 없이 빠르게 진행되며, 대응이 조금만 늦어져도 치명적인 결과로 이어진다. 그럼에도 SOP는 단계적 검토와 보고를 전제로 구성되어 있었고, 통제 여부를 현장 담당자의 판단에 맡기는 구조를 유지하고 있었다. 이는 시간 압박과 불완전한 정보가 동시에 존재하는 재난 상황에서는 사실상 작동할 수 없는 설계다. 결국 이 사례는 SOP의 존재 여부가 아니라, 그 절차가 어떤 철학으로 설계되었는지가 사고의 성격을 결정한다는 점을 분명히 보여준다.
운영·통제 SOP의 적용 과정을 단계별로 따라가 보면, 첫 번째 균열은 위험 인지 단계에서 발생했다. 호우 경보 발령과 수위의 급격한 상승이라는 명확한 위험 신호가 이미 존재했음에도, 이를 즉각적인 도로 통제 조건으로 자동 전환하는 규칙은 마련되어 있지 않았다. 두 번째 실패는 판단과 결정 단계에서 드러났다. 지하차도 통제 여부가 단일하고 일관된 기준에 의해 결정되지 않고, 여러 기관과 담당자의 해석과 재량에 따라 달라지는 구조였기 때문이다. 마지막 실행 단계에서는 통제가 지연되거나 아예 이루어지지 않았고, 그 사이 차량은 계속해서 위험 구간으로 유입되었다. 이처럼 연속적으로 이어진 실패의 흐름 속에서 SOP는 위험을 차단하는 통제 장치가 아니라, 책임이 분산되고 공백이 발생하는 틀로 기능하고 말았다.
SOP를 현실에 적용한다는 것은 단순히 매뉴얼을 숙지하고 따르는 차원의 문제가 아니다. 핵심은 다음과 같은 질문에 명확히 답할 수 있는지에 있다.
이 절차는 지하차도라는 구조적 취약성을 출발점으로 설계되었는가?
특정 조건이 충족될 경우 즉시 통제해야 한다는 분명한 기준이 존재하는가?
위험 신호가 감지됐을 때, 판단을 여전히 개인의 상황 판단에만 맡기고 있지는 않은가?
오송 지하차도 사고에서 SOP는 급격한 수위 상승, 제한된 시야, 촉박한 시간 압박이라는 현실 조건을 충분히 반영하지 못한 채, “상황을 보고 판단한다”는 이상적인 전제를 끝까지 유지하고 있었다. 이는 곧 SOP가 현실을 통제하지 못하고, 오히려 위험에 노출된 결정을 반복하게 만든 구조적 한계를 드러낸다.
Note 정리.
1단계: 전제 조건 확인 (Pre-condition)
호우 경보 및 수위 상승이 반복적으로 발생
제방 공사로 인한 취약성 존재
SOP는 이러한 조건을 즉각적인 통제 전제 조건으로 정의하지 않았다.
2단계: 통제 판단 단계
“이 정도면 아직 통제까지는 아니다”라는 해석 개입
통제 기준이 정량화·자동화되지 않음
SOP가 판단을 제거하지 못하고, 사람의 해석을 허용했다.
3단계: 통제 실행 단계
지하차도 차단 조치 지연 또는 미실행
차량의 지속적 유입
SOP는 이미 지하차도를 ‘통제되지 않아도 되는 공간’으로 전제하고 있었다.
오송 지하차도 참사는 SOP의 본질적 역할을 매우 분명하게 드러낸 사례다. SOP는 사람의 선의나 숙련도를 믿기 위해 존재하는 장치가 아니다. 오히려 인간의 판단이 흔들리기 쉬운 순간을 전제로, 그 한계를 보완하기 위해 설계되어야 한다. 따라서 SOP는 모든 것이 정상적으로 작동하는 평상시보다, 비정상적이고 급박한 상황에서 더 큰 의미를 갖는다.
특히 운영·통제 영역에서 SOP의 핵심은 “어떻게 계속 운영할 것인가”가 아니라, “어떤 조건에서 즉시 멈출 것인가”를 명확히 정의하는 데 있다. 오송 사고에서 드러났듯이, 조건과 기준이 모호한 SOP는 재난 상황에서 오히려 아무도 멈추지 않는 구조를 만들어낸다. 담당자들은 각자 절차를 따르고 있다고 인식하지만, 판단과 책임이 분산된 상태에서는 통제 결정이 끝없이 지연된다. 이는 SOP가 안전망이 되기보다는 책임 공백을 방치하는 틀로 전락하는 순간이다.
SOP가 없으면 사고는 발생한다. 그러나 형식적으로 존재하는 SOP가 있다고 해서 사고가 예방되는 것도 아니다. 차이는 단 하나다. 그 SOP가 시스템 안전 관점에서 설계되어, 일정 조건에서 사람의 판단을 제거하고 위험을 강제로 차단하도록 구성되어 있는가다. 오송 지하차도 참사는 SOP가 선언적 문서에 머무를 경우, 실제 현장에서는 아무런 통제력도 발휘하지 못한다는 사실을 분명히 보여준다.
오송 지하차도 참사는 사고의 원인이 표면적인 ‘통제 실패’에 있지 않음을 분명히 보여준다. 사고는 통제를 하지 않아서 발생한 것이 아니라, 위험을 인지하고도 이를 차단하지 않은 채 그대로 유지하도록 허용한 절차 속에서 발생했다. 물이 차오르기 시작하기 훨씬 이전부터 위험 신호는 존재했지만, 이를 즉각적인 행동으로 전환하는 운영·통제 SOP는 작동하지 않았고, 그 공백은 결국 인간 판단의 지연으로 이어졌다.
시스템 안전(System Safety)의 관점에서 운영·통제 SOP는 행정 문서가 아니다. 이는 위험 구간으로의 진입을 물리적·절차적으로 차단하는 방어선의 일부이며, 재난 분석과 위험 평가, 경보 체계를 현장의 실제 행동으로 연결하는 마지막 연결 고리다. 이 고리가 현실에서 작동하지 않는 순간, 그 앞단에 아무리 많은 정보와 경보가 존재하더라도 안전은 확보되지 않는다.
결국 오송 지하차도 참사는 문서가 부족해서 발생한 사고가 아니다. 시스템이 언제, 어떤 조건에서 ‘멈춰야 하는지’를 설계하지 않았고, 그 결과 위험 앞에서 누구도 멈추지 않는 구조가 유지되었기 때문에 발생한 사고다. 이 사례는 운영·통제 SOP가 무너질 때 시스템 전체가 얼마나 빠르게 붕괴될 수 있는지를 명확히 보여준다.