철도 시스템은 복잡한 상호작용의 집합이며, 설계·운영·유지보수 주체가 서로 다른 구조에서는 시스템 경계가 어디까지인지가 명확하지 않을 때 안전사고의 근본 원인 분석과 책임 소재 규명이 어려워진다. 2026년 스페인 남부 코르도바 인근에서 발생한 아다무스 열차 탈선·충돌 사고는 이런 시스템 경계의 모호성이 사고 결과와 대응에 어떤 영향을 미치는지를 극명하게 보여준 사례다.
2026년 1월 18일 저녁 7시 45분경, 스페인 마드리드와 세비야를 잇는 고속철도 노선에서 중대한 철도 사고가 발생했다. Iryo사가 운행하던 고속열차 한 대가 주행 중 갑작스럽게 탈선했고, 탈선한 열차는 그대로 인접 선로를 침범했다. 바로 그 순간, 반대 방향에서 정상 운행 중이던 Renfe의 Alvia 열차와 충돌하면서 사고는 대형 참사로 이어졌다.
충돌의 충격은 매우 컸다. 객차 여러 량이 심하게 파손되었고, 현장은 즉시 대규모 구조가 필요한 상황으로 변했다. 이 사고로 최소 40여 명이 사망한 것으로 보고되었으며, 수백 명의 승객과 승무원이 크고 작은 부상을 입었다. 사고 직후 현장에는 긴급 구조대와 의료진이 투입되었고, 인근 병원들은 비상 대응 체제로 전환되었다.
사고 당시의 운행 조건은 이례적이었다. 두 열차 모두 허용 속도 이하로 운행 중이었으며, 과속이나 신호 위반과 같은 명백한 운전 행위상의 문제는 확인되지 않았다. 더욱 의아한 점은 사고가 발생한 구간이 곡선이나 분기기가 아닌 직선 구간이었다는 점이다. 일반적으로 탈선 위험이 높다고 인식되는 구간이 아니었고, 해당 선로는 비교적 최근에 보수·갱신 작업이 완료된 상태였다.
사고 직전까지 열차 운행에는 특별한 이상 징후가 보고되지 않았다. 그러나 주행 중 갑작스러운 진동 이후 차륜이 레일을 벗어나며 탈선이 발생했고, 이 탈선은 곧바로 인접 선로 침범으로 이어졌다. 결과적으로 단일 열차 사고로 끝날 수 있었던 상황은, 반대 방향 열차와의 충돌이라는 최악의 시나리오로 확장되었다.
이러한 정황으로 인해 사고 원인은 단순한 인적 오류보다는 선로 인프라 상태나 장비 결함 가능성에 무게가 실리고 있다. 하지만 사고 당시 조건들이 모두 ‘정상’으로 보였던 만큼, 무엇이 탈선을 유발했는지에 대해서는 명확한 결론이 내려지지 않은 상태다. 그 결과, 사고의 직접적인 원인과 책임 주체에 대해서는 사고 이후 상당한 시간이 지났음에도 불구하고 여전히 정리되지 않은 채로 남아 있다.
사고가 발생하면 우리는 거의 반사적으로 선을 긋는다. 운전사는 규정을 지켰는지, 열차는 인증된 설계였는지, 신호 시스템은 정상적으로 작동했는지를 먼저 묻는다. 이 질문들은 대부분 열차 안에서 멈춘다. 운전실, 차량, 제어 장치. 우리가 오랫동안 ‘시스템’이라고 불러왔던 익숙한 영역이다. 그러나 이번 스페인 탈선 사고는 그 경계 안에서 시작되지 않았다. 탈선은 열차가 아니라 선로에서 시작됐다. 그 순간부터 질문은 불편해진다. 선로는 시스템 안일까, 아니면 시스템 밖일까.
시스템 안전 관점에서 시스템 경계란 단순히 “어디까지 책임질 것인가”를 정하는 선이 아니다. 그것은 어떤 요소를 하나의 분석 단위로 보고, 그 바깥 요소와의 상호작용을 어디까지 고려할 것인지를 결정하는 사고의 틀이다. 다시 말해, 시스템 경계는 책임을 나누는 기준이 아니라 위험을 놓치지 않기 위한 시야의 범위다. 이 시야를 어디까지 확장하느냐에 따라 사고의 원인도, 해석도 완전히 달라진다.
이번 철도 사고를 시스템 경계 관점에서 바라보면, 최소한 네 개의 레벨로 나누어 생각할 수 있다.
열차 자체 (rolling stock): 차량 구조, 보드 시스템, 차륜·차축, 제어 시스템 등.
선로 인프라: 궤도, 레일 접합부, 침목, 선로 유지보수 계획 등.
신호·통신·제어 시스템: ETCS, ATP, 속도 제한/경보 시스템 등.
운영 프로세스 및 조직: 운전사, 교신 시스템, 운영 정책 등.
문제는 우리가 이 네 가지를 동시에 하나의 시스템으로 보지 않는 데서 시작된다. 특히 이번 사고에서는 선로 인프라와 운영 주체 사이의 경계가 핵심이었다. 탈선은 선로에서 시작됐고, 그 결과는 인접 선로를 침범해 다른 열차와의 충돌로 이어졌다. 이는 단순히 “운전사가 잘했는가” 혹은 “열차 설계가 적합했는가”라는 질문만으로는 설명할 수 없는 사고다. 선로 상태, 유지보수 품질, 그리고 그 정보가 운영 시스템과 어떻게 연결되어 있었는지가 함께 분석되지 않으면 사고의 전체 그림은 보이지 않는다.
따라서 이 사고를 제대로 이해하기 위해서는 시스템 경계를 열차 내부에서 멈춰서는 안 된다. 인프라 관리자와 유지보수 체계, 그리고 그 결과를 전제로 운행이 이루어지는 운영 구조까지 시스템 경계 안에 포함시켜야 한다. 그래야만 탈선이라는 단일 사건이 왜 충돌이라는 최악의 결과로 확장되었는지, 그리고 그 과정에서 어떤 위험이 누구의 시야에서도 완전히 관리되지 못했는지를 설명할 수 있다.
시스템 경계를 어디까지 설정해야 하는가에 대한 답은 단순하다. 사고가 전이되는 만큼, 위험이 확장되는 만큼 경계도 함께 확장되어야 한다. 탈선이 충돌로 이어질 수 있다면, 그 충돌 가능성까지를 하나의 시스템으로 봐야 한다. 선로 결함이 열차 거동에 영향을 준다면, 선로는 더 이상 시스템 밖의 환경이 아니다. 이번 사고는 우리에게 그 사실을 매우 분명하게 보여준다.
책임자 규명은 시스템 경계 정의에 따라 달라지게 된다. 주체별로 나누어 보면:
시스템 설계자 (Designer)
시스템 설계자의 시선에서 보면 답은 비교적 명확해 보인다. 설계 문서에는 언제나 전제가 있다. 차량은 요구사항을 충족했고, 관련 기준에 따라 설계되었으며, 필요한 인증 절차도 모두 통과했다. 그리고 문서 어딘가에는 조용히 이런 문장이 덧붙는다. “본 시스템은 규격을 만족하는 인프라를 전제로 한다.” 이 문장은 설계자의 시스템 경계를 분명히 보여준다. 그 경계는 차량까지다. 선로는 설계의 대상이 아니라, 이미 안전하다고 가정된 조건으로 취급된다.
이 순간 위험은 더 이상 분석의 대상이 아니라 문서 밖으로 밀려난다. 사고가 발생했을 때 설계자는 말할 수 있을 것이다. 선로에서 발생한 문제는 인프라 관리자의 책임이라고. 논리적으로 틀린 말은 아니다. 하지만 시스템 안전의 관점에서는 바로 이 지점이 가장 취약해진다.
열차 설계자의 역할은 단순히 차량을 기준에 맞게 만드는 데서 끝나지 않는다. 탈선이 발생했을 때 차량이 어떻게 거동하는지, 차륜과 차축의 안정성이 어디까지 유지되는지, 차상 안전장치가 비정상 상황에서 실제로 어떤 보호를 제공하는지까지 고려해야 한다. 더 나아가 충돌 상황에서 객차 구조가 얼마나 에너지를 흡수하고 승객 공간을 보호할 수 있는지도 설계의 일부다. 한편 선로 설계자는 레일 구조와 용접부의 신뢰성, 온도 변화에 따른 레일 팽창과 수축, 장기 사용으로 인한 피로와 결함까지 고려해 인프라를 설계한다.
문제는 이 두 설계 영역이 문서상으로는 분리되어 있지만, 실제 사고에서는 결코 분리되지 않는다는 점이다. 2026년 스페인 탈선 사고가 던지는 핵심 질문은 이것이다. 설계 단계에서 비상 탈선 상황을 실제 시나리오로 충분히 검증했는가, 탈선 이후 열차가 인접 선로를 침범할 가능성과 그로 인한 충돌 위험을 시스템 차원에서 고려했는가. 차량 설계와 선로 설계가 각자의 기준만 충족하면 안전하다고 믿는 순간, 그 사이의 위험은 누구의 책임 범위에도 속하지 않게 된다. 설계자의 시스템 경계가 차량에서 멈추는 한, 선로와 차량의 상호작용에서 발생하는 위험은 다시 문서 밖으로 밀려날 수밖에 없다.
Note.
열차 설계자: 탈선 시 차량의 안정성, 보드 안전장치 및 충돌 시 구조적 강도 설계.
선로 설계자: 레일 구조·용접부 설계, 레일 팽창/수축에 대한 내구성 고려.
설계 단계에서 비상 탈선 상황과 인접선 충돌 위험을 충분히 고려했는지 검증해야 한다.
운영자 (Operator)
Iryo 및 Renfe와 같은 운송 운영 기업인 운영자의 경계도 다르지 않다. 운영자는 운행 중인 열차를 중심으로 시스템을 정의한다. 사고 당시 열차는 제한 속도를 지켰고, 운전사는 훈련을 이수했으며, 신호 체계 준수함으로 경보도 없었다. 운영자의 입장에서 시스템은 정상적으로 사용되고 있었다. 선로 상태는 주어진 환경이며, 통제 불가능한 외부 조건이다. 그래서 이 사고의 경우 두 열차 모두 규정 속도를 지키고 있었기에 단순 운전사의 과속/부주의 책임은 사실상 배제되며 운영 실패가 아니라 예외적인 외부 요인이 된다.
유지보수자 (Maintainer)
유지보수 조직의 시스템 경계는 설계자나 운영자와는 다른 지점에 설정된다. 유지보수자의 세계에서 시스템은 물리적 선로 그 자체가 아니라, 점검과 정비가 ‘계획대로 수행되었는지’에 의해 정의된다. 점검은 예정된 일정에 따라 이루어졌고, 정비 이력도 남아 있으며, 절차서상 누락은 없었다면 시스템은 정상으로 간주된다. 그러나 시스템 안전 관점에서 보면 바로 이 정의가 위험하다. 절차를 지켰다는 사실은 책임을 증명할 수는 있어도, 위험을 제거했다는 증거는 되지 않는다.
ADIF와 같은 인프라 관리자의 역할은 선로 상태 점검, 레일 용접부 품질 확인, 유지보수 주기 관리에 그치지 않는다. 핵심은 “점검을 했는가”가 아니라 “그 점검이 실제 위험을 발견할 수 있었는가”다. 사고 구간이 최근 유지보수되었다는 사실은 겉으로 보면 오히려 신뢰를 높이는 요소처럼 보인다. 그러나 바로 그렇기 때문에 유지보수의 품질, 점검 방법의 한계, 검사 장비와 기준이 실제 선로 결함을 포착할 수 있었는지에 대한 의문이 더 커진다.
이 사고에서 유지보수는 실패했는지조차 명확하지 않다. 절차는 지켜졌을 수 있지만, 그 절차가 고속 주행 조건에서 발생할 수 있는 미세한 결함과 그 위험 전이를 충분히 다루지 못했을 가능성은 남아 있다. 결국 책임의 무게는 특정 작업자나 한 번의 점검이 아니라, 선로 인프라 유지보수 체계 자체와 그 체계를 설계한 기준으로 이동한다. 그리고 바로 이 지점이 아직도 조사와 논쟁의 중심에 남아 있다.
이 사고에서 가장 불편한 진실은, 누구도 명백히 규정을 어기지 않았다는 점이다. 설계자는 기준을 지켰고, 운영자는 규칙을 따랐으며, 유지보수자는 절차를 수행했다. 그럼에도 열차는 탈선했고, 사람들은 목숨을 잃었다. 이것이 바로 시스템 경계가 만들어낸 공백이다. 위험은 분명 존재했지만, 그 위험을 소유한 주체는 없었다. 경계 밖으로 밀려난 위험은 결국 시스템 전체를 무너뜨렸다.
시스템 설계자는 선로와 차량 간 상호작용을 심층적으로 시뮬레이션해, 고속 주행에서 미세한 레일 결함이 차량 안정성에 미치는 영향을 사전에 파악하고 취약 구간을 보완해야 한다. 또한 레일 접합부와 침목 상태를 실시간 감시하는 센서를 도입해 이상 징후 발생 시 자동으로 운행 제한 신호를 발령하도록 구성하고, 단일 장비나 결함이 전체 시스템에 미치는 영향을 최소화하기 위해 구조적 여유도를 확보해야 한다. 이러한 설계 기반 안전 강화는 경계 내 요소 간 연결성을 명확히 하고, 위험 전이를 이해하고 제어할 수 있는 기반을 제공한다.
Note. 정리
시스템 설계자의 입장에서 되짚어야 할 핵심 포인트와 완화책:
선로·차량 상호작용 시뮬레이션 강화: 고속 주행 시 미세한 레일 결함이 어떻게 차량 안정성에 영향을 미치는지를 예측하고 취약 구간을 사전에 보완해야 한다.
지속진단 센서 시스템: 레일 접합부와 침목 상태를 실시간 감시할 수 있는 센서를 도입, 이상 징후가 감지되면 자동으로 운행 제한 신호를 내보내도록 구성한다.
모듈형 안전 마진 확대: 단일 장비 또는 용접 결함이 전체 선로 시스템에 미치는 영향이 크므로 구조적 여유도(robustness)를 확보해야 한다.
시스템 안전의 핵심 질문은 “누가 잘못했는가”가 아니라 “이 위험은 어디까지 예상되어야 했는가”다. 탈선 가능성뿐만 아니라, 탈선이 인접 선로와 다른 열차에 미치는 영향, 미세한 결함의 증폭, 유지보수 품질의 불확실성이 운영 안전으로 전이되는 과정까지 고려해야 한다. 따라서 시스템 경계는 책임을 나누기 위한 선이 아니라, 위험을 놓치지 않기 위한 시야이며, 위험이 이동하는 만큼 경계도 함께 확장되어야 한다.
시스템 경계가 모호할 때는 다음과 같은 원칙을 적용할 수 있다. 먼저 기능 기반 분해(FBD, Functional Breakdown)를 통해 시스템을 기능 단위로 나누고, 각 주체가 보호해야 할 기능과 책임을 명확히 정의한다. 다음으로 잠재 원인별 역할 매핑을 수행해, 사고의 가능성이 높은 요소가 설계, 운영, 유지보수 중 어느 영역에 속하는지 기준으로 경계를 설정한다. 마지막으로 피드백 루프를 구축해 사고 발생 시 각 주체가 정보를 공유하고 신속히 대응할 수 있는 구조와 소통 경로를 명문화한다. 이러한 접근은 경계가 불명확한 상황에서도 대응과 책임 기준을 확보할 수 있게 한다.
시스템 안전의 본질은 책임을 나누는 데 있지 않다. 경계는 위험을 놓치지 않기 위해 존재한다. 위험이 전이되는 범위만큼 경계도 함께 확장되어야 하며, 탈선이 인접 선로와 충돌로 이어질 수 있다면 그 선로까지 경계에 포함되어야 한다. 선로 결함이 차량 안정성에 영향을 준다면 인프라는 설계 가정이 아니라 분석 대상이 되어야 하고, 유지보수 결과가 운행 안전에 직결된다면 절차는 수행 여부가 아니라 충분성 측면에서 검토되어야 한다.
이번 사고의 의미는 단순히 사망자 수로 평가되지 않는다. 정상 운행 중에도 시스템은 실패할 수 있으며, 규정을 준수해도 사고는 발생할 수 있다. 무엇보다 경계를 잘못 설정하면, 아무도 책임지지 않는 위험이 발생할 수 있다는 점이 중요한 교훈이다. 한 문장으로 정리하면 이 사고는 이렇게 말한다. 선로는 시스템 밖이 아니었다. 다만, 그렇게 취급되었을 뿐이다.
Note. 정리
시스템 경계가 모호한 경우 다음과 같은 원칙을 세울 수 있다:
기능 기반 분해(FBD, Functional Breakdown): 시스템 전체를 기능 단위로 분해해 각 주체가 보호해야 할 기능을 명확히 정의한다.
잠재 원인별 역할 매핑: 잠재적 사고 원인이 설계·운영·유지보수 어디에 가장 가까운가를 기준으로 책임 경계를 매핑한다.
피드백 루프 설정: 사고 발생 시 각 주체가 정보를 공유하고 즉시 대응할 수 있는 피드백 구조와 커뮤니케이션 경로를 명문화다.
결론적으로, 2026년 스페인 철도 사고는 시스템 안전과 경계 설정의 중요성을 여실히 보여준 사건이다. 사고를 단순히 운전사 개인의 오류나 한 부문의 결함으로 규정할 수 없듯, 설계·운영·유지보수 주체가 공유하는 시스템 경계를 명확히 하고, 그 안에서 위험 전이와 상호작용을 분석하는 것이 필수적임을 깨닫게 한다.
시스템 안전에서 경계는 책임을 나누기 위한 선이 아니다. 그것은 위험을 놓치지 않기 위한 시야이며, 우리가 경계를 좁힐수록 시스템은 단순해 보이지만, 사고는 오히려 더 복잡해진다. 실제로 사고는 늘, 우리가 그어놓은 경계의 바깥에서 시작된다. 선로는 시스템 밖이 아니었다. 다만, 그렇게 취급되었을 뿐이다.
이번 사고가 남긴 철학적 교훈은 분명하다. 시스템은 단순한 부품의 집합이 아니라, 설계·운영·유지보수 주체가 상호작용하는 관계망이다. 경계가 모호할수록 위험은 예측하기 어렵고, 안전 확보는 불완전해진다. 따라서 우리는 이번 사고를 계기로 시스템 경계를 재정의하고, 확장된 관점에서 설계·운영·유지보수를 통합적으로 관리해야 한다. 안전은 단순히 규정 준수에서 완성되지 않으며, 경계를 넘어선 위험까지 포함할 때 비로소 의미를 가진다.