사고 보고서를 처음 읽을 때마다 늘 같은 생각이 든다. 이 결과는 정말 불가피했을까? 대부분의 프로젝트 실패나 중대 사고는 기술 부족 때문이 아니라, 우리가 시스템을 어떻게 이해했고, 어디까지를 시스템으로 보았는지에 따라 이미 방향이 정해져 있었다. 이 글에서는 실제 산업 현장에서 반복적으로 관찰된 한 유형의 프로젝트 사례를 바탕으로, 만약 MBSE(Model-Based Systems Engineering)와 MBSA(Model-Based Safety Analysis)가 초기부터 사용되었다면 결과가 어떻게 달라질 수 있었는지를 살펴보고자 한다.
이 글은 특정 회사를 지목하거나 책임을 묻기 위한 사례 분석이 아니다. 오히려 우리가 익숙하게 반복해온 엔지니어링 방식이 어떤 한계를 갖고 있었는지, 그리고 그 한계를 넘기 위해 어떤 사고의 전환이 필요한지를 성찰하는 데 목적이 있다.
MBSE: 문서가 아니라 사고의 구조
MBSE(Model-Based Systems Engineering)는 SysML 다이어그램을 그리는 기법이 아니다. 그 본질은 문서 중심(Document-based) 엔지니어링에서 벗어나, 시스템의 목적·구조·행동·인터페이스·제약조건을 하나의 일관된 모델로 사고하는 방식에 있다. 요구사항은 더 이상 나열된 목록이 아니라 서로 얽힌 관계망이며, 변경은 단순 수정이 아니라 시스템 전반으로 퍼져나가는 파급 효과로 이해된다.
MBSE 환경에서 설계는 단계별 산출물의 집합이 아니라, 시간에 따라 진화하는 하나의 시스템 표현이 된다. 이 모델은 기술 사양을 설명하는 도면을 넘어, 설계 의도와 가정을 담는 사고의 틀이 된다. 중요한 점은 이 모델이 특정 엔지니어의 전유물이 아니라, 설계자·운영자·안전 담당자 모두가 공유하는 공통 언어가 된다는 것이다. 이를 통해 조직은 “우리가 무엇을 만들고 있는가”에 대해 같은 그림을 보게 된다.
MBSA: 위험을 사건이 아닌 통제로 본다
MBSA(Model-Based Safety Analysis)는 MBSE 모델 위에서 수행되는 안전 분석 접근이다. 전통적인 안전 분석이 고장(Failure)이나 사건(Event)을 중심으로 사고를 설명해왔다면, MBSA는 시스템이 어떻게 통제되고 있는가, 그리고 그 통제가 어떤 상호작용 속에서 실패할 수 있는지를 중심으로 위험을 바라본다.
STPA(System-Theoretic Process Analysis)는 이를 대표하는 기법이다. 여기서 사고는 특정 부품이 고장 나서 발생한 결과가 아니라, 시스템이 요구되는 조건에서 안전하게 제어되지 못한 결과로 해석된다. 핵심 질문은 “무엇이 망가졌는가”가 아니라, “왜 이 상황에서 올바른 제어가 이루어지지 않았는가”다.
MBSA의 강점은 안전 분석을 설계 이후의 검증 활동으로 분리하지 않는 데 있다. 모델 내부에서 고장 모드와 운영 시나리오를 함께 다루며, 특정 결함이나 결정이 전체 시스템 안전에 어떤 연쇄적 영향을 미치는지를 구조적으로 드러낸다. 안전은 점검 대상이 아니라, 설계 그 자체의 속성이 된다.
우리는 공항 대기실에서 창밖의 비행기들을 바라보며 평온함을 느낀다. 그러나 그 이면의 항공교통관리(Air Traffic Management, ATM)는 지상에서 가장 복잡한 ‘디지털 체스판’에 가깝다. 수천 대의 항공기, 시시각각 변하는 기상 조건, 국가와 조직을 넘나드는 관제 시스템이 실시간으로 맞물리는 이 공간에서, 사고는 거대한 실패가 아니라 단 하나의 미세한 오차에서 시작된다.
이러한 복잡성을 관리하기 위해 많은 국가들은 항공교통관리 현대화 프로젝트를 추진해왔다. 목표는 명확했다. 증가하는 항공 수요에 대응하기 위해 자동화를 확대하고, 관제 효율을 높이며, 한정된 공역을 더 촘촘하게 활용하는 것. 이를 위해 새로운 감시 시스템, 의사결정 지원 도구, 데이터 링크 기반 통신 기술이 단계적으로 도입되었다.
프로젝트는 계획된 일정과 예산 안에서 완료되었고, 요구된 안전 인증도 모두 통과했다. 문서와 절차상으로는 성공적인 현대화였다. 그러나 실제 운영이 시작되자 예상치 못한 문제가 드러나기 시작했다. 자동화 시스템의 권고와 관제사의 판단이 서로 충돌하는 상황이 늘어났고, 공역이 혼잡해질수록 경보는 빈번해져 관제사의 주의를 오히려 분산시켰다. 그 결과 어떤 상황에서는 관제 개입이 늦어졌고, 또 다른 상황에서는 필요 이상으로 과도해지는 현상이 반복되었다.
중대 사고로 이어지지는 않았지만, 다수의 근접 위험 상황(Airprox)이 보고되었고 운영 효율은 기대와 달리 저하되었다. 기술은 분명히 발전했지만, 시스템 전체는 그만큼 안전해지지 않았다. 이 지점에서 질문이 남는다. 문제는 기술이었을까, 아니면 우리가 이 시스템을 이해하고 설계한 방식이었을까?
이 프로젝트에서 항공교통 시스템은 기능별로 분해되어 설계되었다. 감시 시스템, 자동화 도구, 관제 절차, 교육 프로그램은 각각 최적화되었지만, 이들이 실제 운영 환경에서 어떻게 상호작용하는지에 대한 통합적 모델은 존재하지 않았다.
안전 분석 역시 개별 기능과 장비를 중심으로 수행되었다. 특정 고장 시나리오는 잘 정의되었지만, 정상적으로 작동하는 시스템 간 상호작용이 어떻게 위험을 만들어낼 수 있는지는 충분히 다뤄지지 않았다. 관제사의 판단과 조직의 운영 목표는 시스템 외부의 가정으로 남아 있었다.
1. 시스템 경계의 재설정
MBSE를 적용했다면 ATM 시스템의 경계는 기술적 구성품에서 끝나지 않았을 것이다. 관제사, 자동화 로직, 공역 구조, 조직의 성과 지표까지 포함한 운영 시스템 전체가 하나의 모델로 정의되었을 가능성이 크다.
이를 통해 자동화 도구는 ‘지원 기능’이 아니라, 관제사의 판단과 책임을 공유하는 통제 요소로 인식되었을 것이다.
2. 통제 구조 기반 안전 분석
MBSA(STPA)를 통해 다음과 같은 질문이 설계 초기부터 제기될 수 있다.
자동화 권고는 언제 반드시 따라야 하고, 언제 무시되어야 하는가?
관제사는 어떤 정보가 없을 때 위험한 결정을 내리게 되는가?
공역 혼잡을 줄이려는 조직 목표는 안전한 분리 유지와 어디서 충돌하는가?
이 분석은 관제사의 실수를 줄이기 위한 교육 강화가 아니라, 경보 기준, 인터페이스 설계, 권한 배분을 포함한 통제 구조 자체의 재설계로 이어졌을 것이다.
3. 변화의 영향 가시화
MBSE 모델 위에서 요구사항과 안전 제약이 연결되어 있었다면, 자동화 수준을 높이기 위한 변경이 관제사의 상황 인식과 안전 여유를 어떻게 잠식하는지 명확히 드러났을 것이다. 이는 ‘인증은 통과했다’가 아니라, ‘어떤 위험을 선택하고 있는가’를 조직 차원에서 논의하게 만든다.
MBSE와 MBSA 역시 만능은 아니다. 초기 모델 구축에는 상당한 시간과 역량이 필요하며, 조직이 이를 단순한 산출물로 취급할 경우 형식주의로 전락할 위험도 있다. 특히 MBSA는 분석 결과를 실제 설계 변경과 운영 정책에 반영할 의사결정 구조가 없으면 또 하나의 보고서로 남을 수 있다.
따라서 기술 도입보다 중요한 것은, 모델이 드러낸 불편한 진실을 받아들일 준비가 조직에 되어 있는가라는 질문이다.
이 항공교통관리 사례에서 MBSE와 MBSA가 갖는 진짜 의미는 사고를 더 정교하게 분석해주기 때문이 아니다. 사고가 발생하기 이전에, 우리가 시스템을 전혀 다른 방식으로 생각하게 만들었을 가능성에 있다.
우리는 오랫동안 안전을 검증의 문제로 다뤄왔으나, 요구사항을 충족했는지, 절차를 따랐는지, 인증을 통과했는지가 안전의 기준이 되어왔다. 그러나 항공교통관리와 같은 복잡한 사회기술 시스템에서 안전은 검증의 결과로 만들어지지 않는다. 그것은 설계 초기의 시스템 경계 설정, 통제 구조에 대한 이해, 그리고 인간을 시스템 외부의 변수로 두지 않고 시스템의 일부로 받아들이는 사고방식에서 시작된다.
MBSE와 MBSA는 단순한 방법론이나 도구 세트가 아니다. 그것은 시스템을 이해하고 위험을 해석하는 하나의 언어다. 이 언어를 선택한다는 것은, 미래의 항공 안전을 또 하나의 사고 보고서로 남길 것인지, 아니면 애초에 사고가 다른 결말로 흘러가도록 시스템을 설계할 것인지에 대한 선택이기도 하다.