대부분의 조직은 스스로를 안전하다고 말할 충분한 이유를 갖고 있다. 위험성 평가는 수행되었고, 절차서는 정리되어 있으며, 교육 이수 기록도 빠짐없이 존재한다. 사고가 발생하면 이 자료들은 즉시 소환되어 “우리는 해야 할 일을 했다”는 증거로 제시된다. 그러나 아이러니하게도, 이런 준비가 가장 충실한 조직에서조차 사고는 반복된다. 이 현상은 실행력이 부족해서라기보다, 훨씬 더 근본적인 오해에서 비롯된다.
시스템 안전을 논할 때 우리는 ‘통제(Control)’라는 단어를 지나치게 쉽게 사용한다. 문서화된 절차, 반복되는 교육, 규정 준수에 대한 강조만으로 시스템이 통제되고 있다고 선언한다. 통제는 보고서와 체크리스트 속에서 완성된 개념처럼 취급된다. 하지만 사고 이후에 남는 질문은 언제나 하나다. 이 시스템은 실제로 위험한 행동을 막고 있었는가, 아니면 막고 있다고 믿고 있었을 뿐인가.
시스템 안전 엔지니어의 시선에서 사고는 통제가 사라진 공백에서 발생하지 않는다. 오히려 통제가 충분하다고 확신한 지점에서 발생한다. 그 확신은 시스템의 구조적 취약성을 보이지 않게 만들고, 결국 인간의 주의와 성실성에 안전의 마지막 책임을 떠넘긴다. 철도 분야에서 반복되어 온 SPAD(Signal Passed At Danger) 사고는 이 착각이 얼마나 위험한지를 가장 선명하게 보여준다.
우리가 말해온 통제는 과연 시스템의 행동을 제한하는 구조였는가, 아니면 안전을 믿고 싶어 만든 이야기였는가.
시스템 안전에서 통제(Control)는 규칙도 아니고, 지시도 아니며, 기대도 아니다. 통제란 시스템이 취할 수 있는 행동의 범위를 물리적·논리적으로 제한하는 구조적 속성이다. 특정 조건이 충족되지 않으면 시스템은 더 이상 위험한 상태로 진입할 수 없어야 한다. 그 판단이 인간의 기억이나 성실성에 의존한다면, 그것은 통제가 아니라 가정에 불과하다.
위험한 상태로의 진입을 사전에 제한할 수 있어야 한다
인간의 기억, 의지, 성실성에 의존하지 않아야 한다
조건이 충족되지 않으면 시스템이 스스로 멈추거나 제한되어야 한다
통제는 항상 강제력을 전제로 한다. 설명은 행동을 유도할 수는 있지만, 행동을 구속하지는 못한다. 시스템 안전이 요구하는 통제는 ‘올바르게 행동하라’가 아니라, ‘잘못된 행동이 불가능하도록 설계하라’는 요구다. 만약 통제에서 “알고 있다”, “교육했다”, “주의하라 했다”는 표현은 통제의 증거가 아니라 통제가 없다는 신호일 수 있다.
철도 시스템에서 반복적으로 발생하는 SPAD(Signal Passed At Danger) 사고는 잘못 정의된 통제가 어떤 결과를 낳는지를 가장 정직하게 드러내는 사례다. 정지 신호를 지나친 열차, 그리고 사고 이후 거의 예외 없이 따라붙는 설명. 운전사의 부주의, 인지 오류, 규정 미준수. 이 서사는 너무 익숙해서 더 이상 의심받지 않는다.
그러나 이 설명은 사고를 설명하는 듯 보이지만, 실제로는 사고의 원인을 체계적으로 은폐한다. SPAD 사고의 핵심은 운전사가 실수했다는 사실이 아니다. 핵심은 그 실수가 발생했을 때 시스템이 아무런 제약 없이 위험한 상태로 진입할 수 있도록 설계되어 있었다는 점이다.
국가와 운영 체계가 달라도 SPAD 사고의 구조가 놀라울 만큼 유사한 이유도 여기에 있다. 많은 철도 시스템은 오랜 기간 동안 안전 통제의 역할을 운전사 개인에게 위임해 왔다. 충분한 교육, 반복 훈련, 명확한 규정, 주의 의무. 조직은 이것들을 통제 수단으로 간주했고, 신호를 놓치거나 오인하는 문제는 개인의 각성과 숙련도로 해결할 수 있다고 믿어 왔다.
그러나 시스템 안전 관점에서 이것은 통제가 아니다. 이것은 단지 인간이 바람직하게 행동할 것이라는 기대다. 기대는 통제가 될 수 없다. 통제란 시스템이 허용하는 행동의 범위를 제한하는 구조이지, 올바른 선택을 요구하는 윤리적 요청이 아니기 때문이다.
인간의 인지 능력은 시스템 변수 중 가장 불안정하다. 피로, 주의 분산, 작업 부하, 환경 조건은 언제든 판단 오류를 만들어낸다. 이는 개인의 자질 문제가 아니라 인간이라는 시스템 구성 요소가 갖는 본질적 특성이다. 그럼에도 불구하고 많은 철도 시스템은 이 불안정한 요소를 최종 안전 방어선으로 설정해 왔다.
SPAD 사고는 바로 이 지점에서 발생한다. 신호 인지 지연이나 착각, 순간적인 집중력 저하 중 어느 하나만 발생해도 열차는 위험한 상태로 진입한다. 그 이유는 단순하다. 시스템 차원에서 이를 물리적·논리적으로 차단하는 통제 구조가 존재하지 않기 때문이다. 이 구조에서 사고는 예외적인 사건이 아니라, 조건이 충족되면 언제든 재현될 수 있는 통계적으로 예정된 결과다.
SPAD 사고 이전의 조직들은 대개 자신들이 충분한 통제를 갖추고 있다고 믿는다. 규정은 상세하고, 교육 이수율은 높으며, 책임 체계도 명확하다. 사고가 발생하면 통제는 다음과 같은 방식으로 관리되며, 다시 강화된다.
더 엄격한 규정: 규정 위반 여부를 사후에 확인한다
더 강한 책임: 사고 발생 시 운전사의 주의 의무를 강조한다
더 많은 교육: 재교육과 훈련 강화로 재발 방지를 약속한다
하지만 이 접근은 통제를 강화하는 것이 아니라, 통제의 부재를 반복적으로 은폐한다. 관리에는 편리하지만, 안전에는 취약하며, 통제가 사고 이후에만 작동한다는 점과, 사고 이전에는 시스템의 행동을 실제로 제한하지 않는다가 위험을 장치가 아니라, 실패의 원인을 설명하는 언어로 전락한다.
때문이다. 이 구조에서 통제는 위험을 막는 장치가 아니라 책임을 귀속시키는 장치로 기능한다.
이 한계를 극복하기 위해 도입된 것이 ATP(Automatic Train Protection)다. ATP도입은 철도 안전 역사상 가장 결정적인 전환점으로 본다. ATP는 운전사의 판단을 보조하는 장치가 아니다. ATP는 운전사의 의도와 무관하게 시스템이 스스로 개입하는 강제 통제 구조다. 정지 신호를 넘는 순간, 열차는 멈춘다. 해석도, 판단도, 예외도 없다.
이 차이는 본질적이다. 교육과 규정은 도덕적 요구다. ATP는 물리적 제약이다. 시스템 안전은 언제나 후자를 선택한다. 그래서 현대 철도 시스템에서 ATP는 선택이 아니라 전제 조건이 된다. ATP가 없는 시스템은 미성숙한 안전 체계로 분류되며, 더 나은 교육이나 숙련도로 대체될 수 없는 필수 통제 구조로 인식된다.
정리를 하면
교육과 규정은 “멈춰야 한다”고 말한다
ATP는 “멈출 수밖에 없게 만든다”
물론 ATP 역시 완전한 해답은 아니다. 잘못된 설계 가정은 새로운 위험을 만들 수 있고, 유지보수 실패는 통제의 신뢰도를 무너뜨린다. 그러나 중요한 점은 ATP가 실패하더라도, 그 실패가 통제의 문제로 명확히 드러난다는 점이다. 책임이 인간에게 모호하게 전가되지 않는다.
이는 통제의 성숙도를 가늠하는 중요한 기준이다. 실패했을 때조차 구조가 보이는 통제만이 개선될 수 있다.
SPAD 사고는 여러 산업에서 반복되는 잘못된 통제의 전형을 보여준다. SPAD 사고에서 확인되는 잘못된 통제는 다음과 같다.
운전사 교육을 통제로 간주함
규정 준수를 안전 장치로 착각함
경고 신호를 물리적 차단으로 오인함
경험과 숙련도를 시스템 통제로 대체함
사후 책임 추궁을 통제 실패의 대책으로 삼음
이 모든 요소는 안전을 보조할 수는 있지만, 위험을 차단하지는 못하며, 그 결과 시스템은 위험한 상태로 진입할 수 있는 자유를 유지한 채, 결과에 대한 책임만 인간에게 남긴다.
잘못된 Control은 위험을 줄이지 못할 뿐 아니라, 조직에 거짓된 안전감을 제공한다. 이 거짓된 안전감은 위험을 감추고, 의사결정을 느슨하게 만들며, 결과적으로 사고의 가능성을 오히려 높인다. 많은 사고는 통제가 부재해서가 아니라, 통제가 존재한다고 믿었던 지점에서 발생한다.
시스템 안전에서 통제는 의지의 문제가 아니다. 그것은 철저히 구조의 문제다. 인간이 올바르게 행동하길 기대하는 시스템은 이미 실패를 내포하고 있다. 진정한 통제란 잘못된 행동이 발생했을 때 개입하는 것이 아니라, 그 행동 자체가 발생할 수 없도록 시스템의 선택지를 제한하는 상태를 의미한다.
SPAD 사고가 반복적으로 보여주는 교훈은 명확하다. 우리가 통제라고 부르는 것들 중 상당수는 실제로는 통제가 아니다. 교육, 절차, 책임은 안전을 보조할 수는 있지만, 위험을 차단하지는 못한다. 인간의 규정 준수를 통제로 오인하는 순간, 시스템은 다시 사고를 재현할 준비를 마친다.
철도에서 이 교훈을 받아들이는 데에는 수십 년의 사고와 희생이 필요했다. 그러나 이 교훈은 철도에만 국한되지 않는다. 우리가 다른 산업에서 여전히 교육과 절차, 책임을 통제라고 부르고 있는 한, SPAD와 동일한 구조의 사고는 형태만 바꾼 채 언제든 반복될 수 있다.
시스템 안전 엔지니어의 역할은 ‘무엇을 했다’는 기록을 남기는 것이 아니다. 위험한 선택이 불가능해지도록 시스템을 설계하고, 그 구조가 실제로 작동하는지를 끝까지 확인하는 일이다. 안전은 의도에서 나오지 않는다. 안전은 오직 작동하는 Control 안에서만 존재한다.
마지막으로 남는 질문은 하나뿐이다.
우리는 정말로 통제하고 있는가,
아니면 통제하고 있다고 믿고 있는가?
이 질문에 정직하게 답하지 않는 한, 통제는 언제나 사고 이후에만 등장하게 될 것이다.