2025년 4월 28일 스페인 전력 위기 분석과 시사점

스페인 정부 공식 분석 결과

2025년 4월 28일 스페인 전력 위기 분석과 시사점

2025년 4월 28일 정오 무렵, 스페인과 포르투갈을 포함한 이베리아 반도는 단 12.7초 만에 암전 상태로 빠져들었다. 유럽 대륙 계통에서 완전히 분리된 이 광역 정전은 높은 전압이 연쇄적으로 발전기를 밀어내며 퍼져 나간 전례 없는 과전압 사고였다. 스페인 정부는 즉시 전력 비상사태를 선포하고 원인 규명에 착수했으며, 열흘 가까운 조사 끝에 ‘4·28 전력 위기 분석위원회’의 7개 장·12개 부속서짜리 보고서를 내놓았다. 보고서는 사고의 물리적 경위, 디지털·사이버 조사 결과, 복구 과정, 제도 개선안, 그리고 유럽 차원의 교훈까지 종합적으로 기술한 내용을 다음과 같이 정리하고, 보고서 자체 내용도 요약, 번역해서 공유한다.

---

0. 핵심 요약

1)4·28 정전의 직접 방아쇠는 낮은 부하와 재생에너지 과발전이 누적시킨 무효전력이 충분히 흡수되지 못해 계통 전압이 급격히 상승하면서 발전기가 연쇄 차단된 과전압 도미노였다.

2) 스페인 전력망 운영사 REE는 당일 필요한 전압 보조 용량을 과소 계산해 동기 발전기 투입을 최소화했고, 남부 가스복합 발전기 고장에 대한 즉각적인 대체 투입에도 실패해 전압 제어 자원이 구조적으로 부족했다.

3) 계통운영자가 정오 무렵 두 차례 계통 진동을 억제하려고 400 kV 회선을 재투입하고 프랑스·포르투갈 연계 송전을 급감시킨 조치는 무효전력 과잉을 심화해 과전압 위험을 키웠다.

4) 다수 태양광·풍력 인버터는 법정 한계(1.10 pu)보다 낮은 전압에서 과민 보호계전이 작동해 계획보다 이른 시점에 차단됐고, 공용 변전소 허브 구조 탓에 수백 MW가 동시에 탈락하는 취약점이 드러났다.

5) 프랑스와의 교류·HVDC 연계선이 진동 대응으로 실효 용량 1 GW 수준으로 줄어들면서 잉여 전력을 외부로 방출할 통로가 좁아졌고, 계통 분리 시 외부 주파수·전압 지지원을 받지 못했다.

6) 주파수 저하 방어용 자동 부하차단(UFLS)은 1.8 초 지연 시간 때문에 과전압이 최고조에 달한 뒤에야 동작했으며, 오히려 부하를 덜어 전압 상승을 추가로 부추기는 역효과를 냈다.

7) 전날 밤 고장 보고된 남부 가스복합 460 MW 두 기는 예열 시간 90 분을 충족하지 못해 사고 시점까지 투입되지 않았고, 이로 인해 남부 지역 전압 안정 여유가 크게 축소됐다.

8) 양수발전 2.98 GW가 양수 모드로 전력을 흡수했지만 인덕티브 무효전력 흡수 설정이 제한돼 계통 전압 억제 기여도가 2 % 미만에 그쳤다.

9) 외부 침해나 사이버 공격 흔적은 발견되지 않았으나, 패치 누락·로그 부재·IT-OT 분리 미흡 같은 관리형 취약점이 향후 복구 지연 요인으로 지적됐다.

10) ECIU 논평이 지적하듯 재생에너지 자체가 사고 원인이 아니라, 용량 산정 오류·전압 제어 능력 부족·비가동 열발전기와 보호 설정 불일치가 복합적으로 겹쳐 정전을 야기한 ‘운영·기술 실패’라는 것이 공식 결론이다.

---

1. 사건 개요 및 발생 경위

2025년 4월 28일 12시 33분 30초경, 스페인과 포르투갈을 포함한 이베리아 반도 전력망에서 전압 0 사태(광역 정전)가 발생하여 이베리아 전력계통이 유럽 대륙 본토 계통에서 완전히 분리되었다. 이는 통상적인 전력 수급 불균형이 아닌 계통 내 과전압이 연쇄적으로 발생한 이례적 상황으로서, 높은 전압으로 인해 다수의 발전기가 순차적으로 탈락(disconnection)하며 결국 전 계통이 붕괴된 사건이다. 정전 직후 스페인 정부는 EU 규정에 따라 공식적으로 “전력 비상사태”를 선포하였으며, 손실 부하 규모와 미공급 전력량이 국가 위기관리 기준을 초과했음을 EU 집행위원회 및 인근국(프랑스, 포르투갈)에 통보하였다. 스페인 정부는 4월 30일 국가안보법에 근거해 이번 사태의 원인을 조사하고 재발 방지 대책을 마련할 “4·28 전력 위기 분석위원회(위원회 28-A)”를 구성하였고, 본 보고서는 해당 위원회의 비밀 해제(non-confidencial) 보고서에 기반한 것이다.

사건의 발생 경위를 요약하면 다음과 같다. 4월 28일 오전 동안 스페인-포르투갈 전력망에서는 크고 작은 전압 변동과 진동이 관측되었는데, 이는 평상시와 달리 비정상적으로 불안정한 전압 현상으로 평가되었다. 정오 무렵(12시경)부터는 계통 전반에 주파수 및 전압의 동시 진동(계통 발진)이 두 차례 발생했고, 스페인 계통운영자는 인접국 계통과 협조하여 진동을 감쇄시키기 위한 조치를 시행하였다. 그러나 12시 32분경부터 계통 전반의 전압이 급격히 상승하면서 과전압으로 인한 발전기 탈락 사태가 시작되었고, 12시 33분 30초까지 수십 개의 발전설비(태양광, 풍력 등 신재생 및 일부 화력)가 연쇄적으로 계통에서 떨어져나가면서 주파수 급강하와 계통 분리가 일어났다. 그 결과 불과 수십 초만에 스페인과 포르투갈 전력망 전역에서 대정전(블랙아웃)이 발생하였다. 요약하면, 평소보다 낮은 수요와 높은 재생에너지 출력으로 계통에 축적된 무효전력 및 과전압 문제가 서서히 누적되다가, 정오 이후 여러 계통 발진(주파수 진동)을 계기로 남북 계통분리와 발전기 탈락의 연쇄 반응으로 증폭되었고, 마침내 이베리아 반도 전체의 광역 정전으로 귀결된 것이다.

이번 사태는 2000년대 이후 유럽에서 유례를 찾기 어려운 규모의 정전으로 평가되며, 스페인 정부와 전력당국은 사건 직후부터 복구와 원인 분석에 착수하였다. 본 보고서에서는 사건의 경과를 5단계로 구분하여 분석하고, 사태 이전의 전력망 상태와 시장 여건, 디지털/사이버 측면 점검 결과, 기술적·운영상 문제점, 복구 과정 및 정책적 시사점을 종합적으로 정리한다.

---

2. 위기 발생 전 전력 시스템의 물리적 및 시장적 배경

(1) 수요 및 설비 운영 현황:

2025년 4월 28일은 월요일이었으나 봄철의 비교적 온화한 기온으로 전력 수요가 낮았다. 당일 정오경 스페인 본토부하는 약 25,184 MW 수준으로, 역대 피크수요(44,876 MW)의 절반 정도에 불과한 낮은 부하 상태였다. 수요가 낮은 반면 태양광 등 재생에너지 출력은 높아, 전력 공급에서 재생에너지가 차지하는 비중이 매우 컸다. 실제 12시 30분 기준 발전설비 믹스를 보면 재생에너지(태양광·풍력 등)가 82%를 차지했고, 원자력 10%, 가스화력 3%, 석탄 1%, 열병합 및 폐기물 4%로 구성되어 있었다. 이 시각 스페인 계통에 투입된 회전기(동기) 발전기는 총 11기로, 원전 4기, 석탄 1기, 가스복합 6기만 가동 중이었으며 이들만이 전압 조정 능력을 갖춘 상태였다. 이는 통상 수준에 견줘 매우 낮은 동기발전기 투입량이며, 말하자면 계통 관성(inertia)과 무효전력 조정 자원이 극도로 부족한 상태에서 정오를 맞이한 것이다.

(2) 낮은 수요와 과전압 경향:

수요 부진으로 스페인 송전망에는 구조적 과전압 경향이 나타나고 있었다. 봄철 낮 시간대 부하는 낮고 400kV 송전망은 광범위하게 연결되어 있어, 송전선로에 축적된 정전용량 효과로 계통 전반에 무효전력이 과잉 공급되는 상황이었다. 계통운영자는 평소 이런 저부하 시 과전압 현상을 완화하기 위해 일부 송전선을 미리 차단하여 네트워크의 메쉬(meshed) 정도를 줄이는 조치를 취한다. 4월 28일 오전에도 이러한 조치로 몇몇 송전선로가 오프 상태였다. 그러나 오전 내 발생한 진동에 대응하면서 11시경부터 그동안 차단됐던 400kV 회선 10개를 속속 재투입하여 계통을 더 강하게 연결함으로써 진동 감쇄를 도모했는데, 이로 인해 아이러니하게도 계통의 무효전력 흡수 여력은 감소하고 전압 상승 압력은 커지는 부작용이 생겼다. 즉, 진동 억제를 위해 네트워크를 조밀하게 연결할수록 저부하 환경에서 과전압 위험은 증대되는 구조였다.

(3) 시장 가격과 발전기 운전 계획:

한편 당일 스페인 전력시장은 태양광 발전의 과잉으로 한때 도매가격이 0 또는 음의 수준(마이너스 가격)까지 떨어졌다. 그 결과 발전기들은 경제성이 떨어져 출력을 줄였고, 오히려 값싼 전력을 활용해 양수발전설비가 약 2,978MW 규모로 양수펌프를 가동하여 남는 전력을 저장하고 있었다. 즉, 일반 부하는 낮고 재생에너지 공급은 넘쳐나는 상황에서 남는 전력을 흡수하기 위해 양수발전이 돌아가는 모습이었다. 계통운영자는 전일(4월 27일)과 당일 아침 상황을 보고 일부 가스복합발전기를 기술제약 조치로 추가 운전시켜 예비력과 전압조정 능력을 확보하려 했다. 그러나 4월 27일 저녁에 남부 지역의 한 대형 발전기가 돌연 계획 탈락(정비 불가 통보)함에 따라 당초 투입 예정이었던 전압조정 자원이 빠졌고, 계통운영자는 이를 대체할 예비기를 즉시 투입하지 못한 채 28일 오전을 맞이하였다. (해당 발전기는 남부 지역 전압안정에 핵심적 역할을 할 수 있는 설비였던 것으로 나중에 분석되었다.) 요컨대, 시장 및 운전계획 측면에서 재생에너지의 대량 출력과 낮은 가격으로 동기식 발전기의 최소 운전만 이루어졌고, 전날 예고된 설비 이탈에 적절히 대응하지 못해 계통의 안정여유(전압조정력)가 줄어든 상태였다. 이러한 상황은 4월 22일, 24일에도 유사하게 나타나 일부 국지적 전압 이상과 주파수 일탈을 야기한 바 있으며, 28일 사태의 전조로 지목되었다. 그러나 28일 정오에 임박해서도 계통은 표면적으로 주파수 50Hz 부근, 전압 허용범위 이내를 유지하고 있었기에, 육안상의 지표만 보면 심각한 문제는 감지되지 않은 채 위기가 서서히 증폭되고 있었던 것으로 추후 평가되었다.

(4) 인터커넥터(국제 연계선) 상황:

스페인-프랑스 및 포르투갈 연계선은 당시 수출입 조정 중에 있었다. 오전 6시경 프랑스 인터커넥터에서 약 1,000MW 규모의 수출 감소 프로그램이 실행되며 한차례 계통 전압에 영향을 준 이후, 프랑스 및 포르투갈 연계 교류용량은 계통 진동 억제를 위해 점차 축소되어 12시 무렵에는 프랑스 방향 1,000MW 고정 송출(HVDC 포함) 수준으로 제한되었다. 이는 이베리아 계통이 사실상 대외적으로 고립도 높은 상태에서 과잉 전력을 내부에 품은 채 운영되고 있었음을 의미한다. 스페인의 대외 연계용량은 설비용량 대비 3% 수준으로, 유럽연합 권고치인 15%에 현저히 못 미치는 구조적 고립 계통이다. 이러한 낮은 연계율은 잉여 전력을 국외로 신속히 방출하거나, 위기 시 외부 지원 전력을 들여오는 데 한계가 있다. 4월 28일의 경우도 정전 이전 스페인은 약 1.5GW를 프랑스에 수출하고 있었으나, 초기 발전기 탈락으로 이 수출이 급격히 줄고 곧 계통이 분리됨에 따라 외부 지원 없이 자국 계통의 자원만으로 버텨야 하는 상황에 놓였다.

요약하면, 위기 당일 이베리아 전력망은 낮은 부하와 높은 재생에너지 비중, 그리고 낮은 계통 유연성(부족한 동기 발전기와 제한된 연계)이라는 물리적·시장적 배경 아래 운영되고 있었다. 표면상 균형은 맞았지만 전압 상승 압력과 안정도 저하 위험이 내재된 상태였고, 이러한 취약한 여건이 이후 사태 전개에 큰 영향을 미치게 된다.

---

3. 전력 위기의 5단계 전개 과정 및 주요 원인

스페인 정부 분석위원회(28-A 위원회)는 4월 28일 사건 진행을 다섯 개의 단계(Phase 0~4)로 구분하였다. 각 단계별 주요 발생 상황과 원인을 정리하면 다음과 같다.

Phase 0 (전단계 – 사태 이전 조짐):

시간대: 사건 전 주 및 당일 오전 9:00~12:00. 이 기간 이베리아 계통에는 비정형적인 전압 불안정 현상이 관찰되었다. 예를 들어, 오전 9시경 스페인 Cáceres의 한 태양광 발전소가 보호계전 동작으로 순간 차단되는 일이 있었고, 10시 40분 무렵 일부 수력발전기들이 전압 진동으로 탈조현상을 일으켜 일시 정지하기도 했다. 11시경에는 아라곤(Zaragoza) 지역에서 400kV 변전소 전압이 425435kV까지 급변하여 인접 발전설비가 저전압 계전에 의해 수 초간 차단되었다가 재투입되는 등 여러 국지적 이상 현상이 보고되었다.

이 모든 전압변동은 아직 허용범위 내였고 큰 피해는 없었으나, 여러 운영상 이상징후가 산발적으로 나타난 것이다. 이러한 전압 불안정의 근본 원인은 계통의 부족한 실시간 전압제어 능력으로 지목된다. 재생에너지 설비들의 무효전력 제어 한계(당시 법규상 고정 역률로 운전)와 일부 배전계통 및 대용량 수용가들의 전압지지 미흡으로 인해, 비교적 일상적인 계통 동요에도 전압이 크게 출렁이는 취약성이 드러났다. Phase 0 단계는 본격적 사건 이전의 잠복적 위험상황이라 할 수 있으며, 실제 4월 22일과 24일에도 유사한 전압 이상 사건이 있었던 것으로 조사되었다.

Phase 1 (계통 진동 발생 단계): 시간대: 12:00~12:30.

정오를 기점으로 이베리아 계통에는 두 차례의 뚜렷한 저빈도 전력 진동(Inter-area oscillation) 현상이 나타났다. 첫 번째는 12시 03분경 발생한 약 0.6Hz 주파수의 고속 진동으로 주파수 편차 ±70mHz까지 관측되었고 약 4분 42초 후 감쇄되었다. 이 진동은 통상 유럽 계통에서 관찰되는 0.2Hz 수준보다 높은 이례적 주파수의 발진으로, 이베리아 내부에서 촉발된 국지 진동으로 분석되었다. 곧이어 12시 19분경 두 번째로 0.2Hz 대역의 느린 전력 진동이 발생하여 약 ±23kV 정도의 전압 출렁임이 동반되었고 3분 20초 후 감쇄되었다.

이 진동은 유럽 광역 계통 모드(동-서-남부간)로서 비교적 흔한 양상이었지만, 특이한 점은 0.6Hz 진동이 발생 직후 0.2Hz 진동이 증폭되는 패턴이 두 번 모두 나타났다는 것이다. 이는 initial 진동이 계통을 자극하여 광역 진동모드까지 활성화시킨 것으로 추정된다. 두 차례 진동 모두 스페인, 포르투갈뿐 아니라 프랑스 등 유럽 다른 지역 변전소에서도 감지될 만큼 광범위했다.

Phase 1 대응 조치: 스페인 계통운영자(REE)는 이러한 진동을 억제하기 위해 긴급 조치를 취했다. 첫째, 프랑스 및 포르투갈 전력당국과 협의하여 국제 연계선을 통한 송전량을 대폭 축소했다. 12시 20분부터 프랑스향 송전은 1,000MW로 줄이고, 12시 30분에 맞춰 포르투갈향 송전도 2,000MW로 줄이는 조정이 시행되었다. 둘째, 기존에 차단되어 있던 400kV 송전선 총 5회선을 추가로 투입(12:21, 12:25 등)하여 계통의 유기적 결합을 강화함으로써 진동 감쇠력을 높였다. 이미 Phase 0에서 3회선을 투입한 데 이어, Phase 1에서 2회선을 더 투입한 것이다. 셋째, 남부 지역에 전압제어용 예비 발전기를 긴급 기동하도록 지시했다. 탈락 없이 가장 신속히 기동 가능한 가스복합발전기를 물색하여, 12시 26분 해당 발전소에 14시경 투입 준비를 하라는 명령을 내렸다. 다만 이 발전기는 예열 후 동기 투입까지 약 90분이 소요되는 상황이어서, 실제 계통붕괴 시점까지 기동 완료가 이루어지지는 못했다.

이상의 조치들로 12시 30분경까지 두 차례 진동은 일단 수 분 내 감쇄되었고, 겉보기에는 계통이 안정화를 되찾는 듯했다. 그러나 이 조치들로 인해 계통 구성은 아침에 비해 크게 변화하였다. 연계선 송전량 축소로 이베리아 내부의 잉여 전력이 배출될 통로가 줄어들었고, 400kV 회선들을 모두 투입함으로써 계통은 매우 조밀하게 연결된 상태로 전환되었다. 이는 이후 Phase 2에서 나타나는 전압 폭등(과전압) 사태의 단초가 되었다고 위원회는 지적하고 있다.

Phase 2 (과전압에 의한 초기 발전기 탈락): 시간대: 12:32:00~12:33:18.

12시 32분에 이르러, 계통은 재차 중대한 불안정에 빠진다. 여러 조치로 진동은 잠잠해졌으나 그 순간 계통 전반의 전압이 급격히 상승하기 시작했다. 분석에 따르면 12:32부터 12:33 사이 프랑스 연계선 송전이 순간적으로 약 1,030MW 감소했는데, 그 중 약 480MW는 스페인 내부의 일부 재생발전기가 출력저하(탈락)하며 생긴 수치로 추정된다. 즉 과전압으로 분산형 발전원들이 부분적으로 보호 차단되면서 대외송전이 줄고 그로 인해 계통에 남는 전력은 더 늘어나 전압을 더욱 밀어올리는 악순환이 시작되었다. 12시 32분 0초에서 55초 사이 약 525MW 규모의 작은 발전기들이 전국 각지에서 다수 탈락한 것으로 파악되는데, 이는 주로 배전망 연계의 태양광 및 풍력 등이 순차적으로 과전압에 반응해 떨어져나간 것으로 보인다.

이어서 12시 32분 57초, 안달루시아(Granada) 지역의 태양광 발전단지 한 곳(약 355MW 규모)이 계통과 연결된 공용접속 설비 전체가 차단되며 크게 탈락했다. 이 발전단지가 떨어져나가기 직전 해당 지점 400kV 모선 전압은 418kV(기준치의 1.045pu)였고 차단 순간 423.9kV(1.06pu)까지 상승한 것으로 기록되었다. 이는 해당 설비의 보호동작 임계값에 근접하거나 초과한 수준으로 보인다.

Phase 2 원인 분석:

Phase 2의 본질은 광역적인 과전압이다. 12:32 이전 계통은 이미 진동 대응 조치로 메쉬 강화, 송전 제한 등의 상태였고 수요 대비 발전이 과잉인 데다 재생에너지들은 무효전력을 충분히 소비하지 못하는 상황이었다. 이 와중에 한두 군데에서 전압이 기준치를 넘어서면서 보호동작이 일어나기 시작했고, 일부 발전소가 멈추자 전력이 남아서 전압이 더 올라가는 현상이 나타났다. 즉, 높아진 전압 → 발전기 탈락 → 부하/출력 불균형 → 전압 추가 상승이라는 연쇄 반응의 시작이 Phase 2였다. 초기 소규모 발전 탈락만으로도 이미 전압 상승을 멈출 수 없는 상황이 되었으며, 이를 제어할 충분한 즉각적인 무효전력 흡수 수단이 계통에 없었다. 위원회는 이 시점 계통 상황을 “이미 전압제어 능력이 약화된 상태에서 몇몇 발전기 탈락이 계통을 전반적 과전압 상태로 몰아넣은 단계”로 규정하였다.

Phase 3 (계통 붕괴 – 전압 0 사태): 시간대: 12:33:18~12:33:30.

불과 12시 33분 18초부터 12시 33분 30초까지 약 12초 동안 이베리아 계통은 완전히 붕괴되었다. 12:33:16에 앞서 언급한 Granada 지역 태양광단지 탈락 이후, 불안정은 남부를 중심으로 걷잡을 수 없이 퍼져나갔다. 12시 33분 16.460초, 또다른 대규모 태양광 집적시설(총 약 730MW 규모)이 전압 상승을 견디지 못하고 연쇄적으로 차단되었다. 1.3초 후(12:33:17.780) 세 번째 주요 탈락 이벤트가 발생하여 수백 MW의 발전이 추가로 사라졌다.

불과 몇 초 사이 남부, 서부, 중부 등 여러 지역에서 태양광 및 풍력 발전소들이 거의 동시에 차단되었으며, 그 시점 스페인-프랑스 연계선은 급격한 수입전력 유입(스페인 측 주파수 하락에 따른 자동 응동) 끝에 12시 33분 19.620초 동기 불안정으로 차단되어 이베리아 계통이 완전히 외부와 분리되었다. 남은 화력 및 원전들도 주파수 급강하와 보호계전에 의해 순차 탈락하였고, 12시 33분 29.741초 최후의 발전기 차단 이후 이베리아 반도 전체에 전압 0, 즉 블랙아웃이 도래하였다. 스페인과 포르투갈 전역의 거의 모든 부하에 전기 공급이 중단되었으며, 포르투갈도 스페인과 동시 정전을 겪었다.

Phase 3 원인 분석:

Phase 3는 결국 Phase 2에서 시작된 연쇄 과전압 사태의 피크이다. 발전원의 대규모 탈락(특히 남부 태양광 위주)이 진행되자 계통 주파수는 급격히 떨어졌고, 일부 대형 발전기는 주파수 저하계전(언더프리퀀시 로드셰딩 등)에 의해 추가로 차단되었다. 위원회는 이 연쇄과정에서 몇몇 보호동작 설정이 부적절했을 가능성을 지적했다. 즉 일부 발전설비가 기준보다 이른 시점에 혹은 너무 낮은 전압 조건에서 과민하게 차단되었을 여지가 있다는 것이다. 또한 대용량 재생발전 단지들이 공유하는 공용 접속 인프라(evacuation infrastructure)가 일거에 떨어져 나가면서 한 번의 고장으로 수백MW를 동시에 잃는 취약점도 노출되었다. 결정적으로, 이러한 과전압 연쇄는 애초에 계통 내 전압안정 능력 부족에서 기인한 것이므로, 이후 더 높은 관성을 가졌더라도 결과를 바꾸기 어려웠을 것으로 분석된다.

실제 계통 붕괴 시각까지 주파수는 비교적 정상 범위였고 과전압 현상이 주도적이었으므로, 설사 더 많은 동기 발전기를 투입해 관성(Inertia)을 키워 주파수 낙하를 늦췄어도 그 사이 여전히 과전압으로 발전기들이 탈락했을 것이라는 결론이다. 오히려, 주파수 방어를 위해 투입된 부하 차단(UFLS) 장치들은 이 경우 부하를 감소시켜 오히려 전압을 더 올리는 역효과를 낳았을 수 있다고 지적된다. 즉, 계통 보호체계가 주로 주파수 사고(발전 부족)에 맞춰져 있고 전압 사고(무효전력 과잉)에 대해서는 효과적이지 못했음을 보여준다.

Phase 4 (정전 이후 복구 단계): 시간대: 12:33:30~ (복구 완료시각 4월 29일 14:36).

계통 붕괴 직후부터 스페인과 포르투갈 전력당국은 블랙스타트 및 계통 복구를 실시했다. 스페인 계통운영자 REE는 자체 비상계획에 따라 여러 지역에 섬(island) 형태의 부분 계통을 재구성하였다. 우선 프랑스와 접속된 카탈루냐 지역과 바스크(북부) 지역에서 프랑스 전력계통으로부터 전력 공급을 받아 각각 국지 계통을 기동하였고, 남부 안달루시아 지역은 모로코로부터 최대 100MW의 긴급 지원전력을 인입하여 섬을 구성하였다.

이와 동시에 스페인 내부 수력발전소들의 블랙스타트 능력을 활용하여 갈리시아, 아스투리아스-칸타브리아, 두에로 등지에서 소규모 섬들이 기동되었고, 이들 역시 점차 인접 섬들과 연결하여 더 큰 계통으로 병합되었다. 예를 들어 북부 바스크 섬은 12시 44분 프랑스 측으로부터 전압 인가를 받고 13시 07분 국경 변전소(IRUN)를 통해 31MW 부하공급을 개시하며 복구의 첫발을 뗐다. 남부 섬도 13시 04분 모로코로부터 전압 인가를 받아 단계적으로 복구에 착수했다. 이렇게 형성된 3개의 주요 섬(카탈루냐-프랑스, 바스크-프랑스, 남부-모로코)은 점차 영역을 확장하며 4월 28일 저녁까지 부하를 지속적으로 투입했다.

복구 성과: 사건 당일 22시 30분경에는 전체 수요의 약 50%가 복구되었고, 이튿날(4월 29일) 새벽 7시에는 99.95%의 공급이 재개되기에 이르렀다. 이후 잔여 소수 지역을 복전하고 기술적 안정화 작업을 거쳐 4월 29일 14시 36분부로 모든 복구 작업이 완료되었다. 복구 과정에서 원자력 발전소들의 자가보호 및 재기동 지원도 중요한 이슈였는데, 정전 직후 모든 원전은 안전 정지되었고, 14시 46분경까지 외부 전원을 공급받아 모든 원전의 안전보조설비 가동이 확보되었다. 최종적으로 4월 30일부터 이베리아 계통은 정상 운영상태로 돌아왔으며, 향후 유사 사태 방지를 위해 계통운영자가 강화된 보수적 운영 기준을 적용하기 시작하였다. 이번 복구는 프랑스, 모로코 등과의 국제 공조 및 외부 지원 활용, 국내 수력 등의 블랙스타트 자원 동원, 계통운영자의 사전 비상계획 수행이 조화를 이루어 신속하게 진행되었다. 대규모 정전 치고는 18시간만에 거의 완전 복구한 사례로, 평시 훈련된 위기대응 체계가 효과적으로 작동한 것으로 평가된다.

---

4. 디지털 및 사이버 보안 관련 요소

이번 4·28 전력 위기와 관련하여 디지털/사이버 측면의 분석도 별도 수행되었다. 분석위원회 산하 사이버·디지털 시스템 작업반(GTCSD)은 사이버 공격이나 디지털 시스템 오작동이 사건의 원인으로 개입되었는지를 조사하였다. 이를 위해 계통운영자(REE)와 발전사들의 SCADA/보안 시스템 로그, 이벤트 기록, 네트워크 트래픽 등을 면밀히 수집·분석하고, 국가 사이버보안 기관(CCN-CERT 등)과 협력하여 위협 정보를 대조하였다. 결론적으로, 이번 사태 발생 시점 및 그 이전 며칠간 어떤 사이버 공격이나 침투의 흔적은 발견되지 않았다. 구체적으로 IT-OT망 사이의 비인가 접속이나 권한상승, 악성코드 활동, 이상계정 로그인 등 사이버 침해 징후가 전혀 포착되지 않았으며, 알려진 공격 TTP(전술·기술·절차)나 위협세력의 패턴도 관찰되지 않았다. 여러 발전소와 제어센터의 네트워크에서도 IT/OT 간 횡적이동(lateral movement)이나 미승인 원격접속 등의 증거가 없었다. 즉, 사이버 공격이나 디지털 시스템 교란은 이번 정전 사태의 원인이 아닌 것으로 공식 확인되었다.

다만, 이번 조사를 통해 전력 산업 전반의 사이버 보안 수준에 대한 몇 가지 취약점과 개선 필요점이 식별되었다. GTCSD는 주요 발전사·송배전사의 정보보안 환경을 점검하여 보안 취약성, 잘못된 설정, 보안통제 미흡 등의 사례를 다수 발견했다. 예를 들어 일부 시스템 장비에 알려진 보안 취약점(패치 미적용 등)이 존재했으나 현재까지 실제로 악용된 정황은 발견되지 않은 것들이 보고되었다. 또한 원격접속 인증체계 미흡, 네트워크 구획(Segmentation) 부족, 이상행위 실시간 모니터링 부재 등의 문제가 드러나, 향후 사이버 공격 표적이 될 가능성이 있는 것으로 지적되었다. 이러한 취약점들은 규모가 작은 발전사업자나 관리 인력이 적은 시설에서 특히 많이 나타나, 중소규모 전력 기업들의 사이버 성숙도 제고 필요성이 강조되었다. GTCSD는 이러한 발견 사항을 기반으로 별도의 보안 강화 권고를 도출하였으며(본문 7장에서 소개), 관계 기관과 업계는 이를 조속히 추진하기로 하였다.

결론적으로, 사이버 요인은 이번 대정전의 원인으로는 배제되었으나, 디지털 인프라의 예방적 보강 필요성이 확인되었다. 특히 발전소 및 변전소의 제어시스템 설정이 적절했는지도 검증되었는데, 일부 발전기의 AVR(자동 전압조정기) 동작이 기대와 달리 무효전력을 충분히 흡수하지 못한 사례가 있어 이는 디지털 제어 로직의 조정 필요성으로 이어졌다. 위원회는 사이버 보안 측면에서도 전력 부문의 공격 표면 관리와 위기 대응 훈련을 강화할 것을 제언하며, 이는 후속 정책 권고에 반영되었다.

---

5. 분석된 주요 기술적 및 운영상 문제점

스페인 정부 분석위원회는 이번 사태의 근본 원인을 다각도로 분석하여 여러 기술적·운영상 취약점을 확인하였다. 사건의 직접적 원인은 앞서 기술한 과전압 연쇄 및 계통 보호 한계였으나, 그 배경에는 구조적·운영상 문제들이 존재했다. 주요 문제점을 정리하면 다음과 같다.

(1) 무효전력 및 전압제어 능력 부족:

가장 핵심적인 문제는 계통의 동적 전압조정 능력이 불충분했다는 점이다. 재생에너지의 대규모 투입에도 불구하고, 이들을 활용한 전압제어나 무효전력 조정 서비스가 부재하여 사실상 전압 유지 책임이 소수의 동기 발전기에만 의존하고 있었다. 그런데 사건 당일 투입된 동기 발전기 수도 평소보다 적었을 뿐 아니라, 일부 기기는 전압제어 성능이 기대에 미치지 못했다.

조사 결과, 당일 전압조정 용량을 가진 발전기들이 평소 계획 대비 적게 운용되었다. 특히 남부 지역에서 전날 예비 투입 예정이던 발전기가 빠졌으나 제때 대체되지 못해, 남부의 전압제어 여력이 큰 폭으로 감소한 상태였다. 실제 남부에 남아있던 발전기 한 대는 평소와는 달리 무효전력 흡수에 소극적인 “평탄한” 반응을 보였고, 그 결과 과전압 억제에 기여하지 못한 것으로 확인되었다.

(해당 발전기는 이전 유사 사례에서는 제대로 전압을 낮추는 무효전력 흡수를 했으나, 28일에는 그렇지 못했다고 한다.) 또한 재생에너지 설비들이 법적 요구사항인 고정 역률 운전을 따르지 못했거나(설정 미흡 등) 대규모 수용가·배전망에서 역률 기준을 이탈한 사례도 일부 확인되어, 계통 전반적으로 예상보다 무효전력 과잉 공급이 이루어졌을 가능성이 지적되었다. 요컨대, 송·배전 및 발전 자원들이 규정된 전압/무효전력 조정 의무를 완벽히 이행하지 못한 가운데 전압 안정도는 크게 저하된 상태였다.

(2) 계통 진동 대응 과정의 부작용:

사건 당일 12시 이전 발생한 계통 진동들을 억제하는 과정에서 오히려 다른 위험이 증폭된 것도 문제점으로 지목된다. 12시경 나타난 0.6Hz, 0.2Hz 두 진동은 계통의 운영 방식을 크게 변경시켰다. 진동 완화를 위해 송전망을 과도하게 연결(open 회선 투입)하고 국제 연계 전력을 급감시키는 조치는, 진동에는 효과적이지만 결과적으로 계통 내 무효전력 분포와 전압 프로파일을 악화시켰다. 이는 일종의 운영상 트레이드오프로서, 주파수 안정화를 우선하는 조치가 전압 안정도를 희생한 셈이 되었다.

결과적으로 Phase 2에서 나타난 과전압 연쇄는 이러한 조치들로 계통 구성이 당초 예측과 달리 변화하면서 촉발된 면이 있다. 또한 첫 번째 0.6Hz 진동의 경우 조사 결과 특정 발전설비의 제어 이상과 연관이 있었고, 그로 인해 통상 잘 발생하지 않는 모드의 발진이 유발된 것으로 파악되었다. 이는 발전소 개별 제어기기(예: 터빈조속기나 PV 인버터 제어)의 세부 튜닝 문제가 광역 진동을 야기할 수 있음을 보여주며, 향후 이러한 부분에 대한 정밀 진단과 개선 필요성을 드러낸 사례로 평가된다.

한편 진동 억제를 위한 운영 프로토콜(해외 연계 차단, 회선 연결 등)은 기존에 마련되어 있었지만, 여러 조치가 동시다발 시행되면서 다른 부문의 위험도를 충분히 고려하지 못했다. 이는 향후 다목적 동시위기 대응 전략 부재로 지적될 수 있다.

(3) 보호 설정 및 공용접속 설비 취약:

발전기와 변전소들의 보호계전 설정 적정성도 도마에 올랐다. 분석보고서는 Phase 3 과정에서 일부 발전기의 과전압 트립이 너무 이른 시점에 발생했다고 지적한다. 정상 규정대로라면 견뎠어야 할 전압 수준에서 차단된 설비들이 있다는 것으로, 이는 발전기나 인버터 제조사의 보호 설정 혹은 운영사의 파라미터 적용 문제일 수 있다. 또한 여러 재생에너지 발전단지가 하나의 변전소나 전용선에 몰려있는 경우, 단일 고장으로 다량의 발전이 동시에 탈락하는 리스크가 현실화되었다.

예컨대 Granada 지역의 355MW 태양광 탈락 시 해당 변전소에 연결된 모든 설비가 한꺼번에 떨어졌다. 이러한 공용 송전 인프라에 대한 규제 미비와 기술적 신뢰성 문제가 확인되었으며, 향후 해당 부분에 대한 법적 기준 마련과 운영책임 명확화가 필요하다고 지적되었다.

(4) 계통 방어체계의 한계:

스페인 전력망에는 주파수 저하 대비를 위한 예비력, 자동 부하차단(언더프리퀀시), 관성 유지 의무 등이 존재하지만, 전압 사고에 대비한 자동 방어수단은 사실상 전무했다. 이번 사태에서 계통 주파수는 마지막 순간까지 크게 떨어지지 않아 언더프리퀀시 로드셰딩(UFLS)은 늦게 동작했으며, 동작하고 나서는 오히려 부하를 덜어 전압상승을 가중시키는 부작용을 냈다.

계통 관성의 경우도, 관성이 더 높았다면 주파수 낙하가 천천히 진행되겠지만 주파수 문제가 본격화되기 전에 전 계통이 과전압으로 마비되었으므로 효과를 발휘하지 못했을 것이라는 결론이다. 결과적으로 현재 계통 보호 및 안정화 장치들이 주로 유효전력/주파수 위주로 설계되어 있고, 무효전력/전압 이상에 대한 자동 대응 수단이 부족한 현실이 드러났다. 이는 스페인뿐 아니라 대규모 재생에너지 비중 증가에 직면한 모든 국가들이 공통으로 고려해야 할 문제다.

(5) 제한적인 국제 연계와 섬네트워크 구조:

앞서 배경에서 언급된 바와 같이 스페인-포르투갈 계통은 프랑스 등 외부와의 연계 용량이 작고 망 내부에서도 지역 블록(예: 남북) 간 병렬 연계선로가 제한되어 있다. 이번 사태에서 남부 지역 과잉전력을 북부로 보내는 송전선들이 과전압으로 차단되면서 남북 불균형이 극단으로 치달았다는 분석도 있다. 이는 송전망 구조적 보강의 필요성을 시사한다. 또한 프랑스, 포르투갈과의 연계선 증설(인터커넥터 강화)은 향후 잉여 전력의 국외 배출과 위기 시 상호지원 측면에서 시급한 과제다. EU 차원의 권고치는 2030년까지 15% 연계율인데, 이베리아는 3% 수준이어서 이러한 고립형 계통에서는 재생에너지 변동성이 고스란히 내부 문제로 남을 수밖에 없다.

(6) 전력시장 운영 및 계획 수립 문제:

마지막으로, 이번 사태는 시장 스케줄과 실시간 운영 간의 불일치 문제를 부각시켰다. 스페인은 일일 도매시장과 수 시간 간격의 인트라데이 시장으로 운영되는데, 4월 28일의 경우 전날 일괄결정된 스케줄이 당일 오전 상황 변화(예: 발전기 고장, 진동 발생)에 탄력적으로 대응하지 못했다. REE가 일부 가스발전 투입 등 기술제약 대응을 했지만, 계획 수정의 시차와 한계로 인해 최적 대응이 이루어지지 못한 측면이 있다. 보고서는 특히 27일 저녁 발전기 고장 시 발전계획 대체가 지연된 점을 지적하며, 이런 부분을 개선하기 위해 시장 운영을 보다 실시간에 가깝게 조정할 필요성을 제기했다.

예를 들어, 시장 클로징 시간 단축 및 빈번한 재조정을 통해 재생에너지 출력 변동이나 설비 트립에 신속히 대응할 수 있도록 하는 것이 계통 안전에 중요하다는 것이다. 또한 기술제약에 따른 발전기 의무투입(전압제어 목적 등)에 대해서도, 운용기관과 발전사 간 정보 공유와 조정 프로세스 개선이 필요해 보인다. 이번 사건에서 문제의 발전기(전날 고장 통보된)의 대체 투입이 적기에 이루어지지 못한 배경에는 관련 절차상의 미흡함이나 커뮤니케이션 지연이 있었을 가능성이 있다.

이상의 문제점들은 복합적으로 작용하여 4월 28일 위기를 초래하였다. 위원회는 이번 사건을 “원인이 복합적인(multifactorial) 위기”로 규정하면서, 단일 요인이라기보다 여러 요소의 누적으로 발생한 사고임을 강조했다. 이러한 문제 인식은 다음 장의 정책 권고에 고스란히 반영되어 있다.

6. 위기 이후 복구 과정과 그 체계

전력 공급 복구(Recovery) 과정은 위기 대응의 중요한 부분으로, 스페인 계통은 비교적 신속하고 체계적으로 복구되었다. 복구 전략과 체계를 간략히 정리하면 다음과 같다:

초기 대응 단계: 4월 28일 12시 33분 정전 직후, 스페인 계통운영자는 사전에 마련된 대정전 대응 계획을 발동했다. 초첨단 수요 관리나 자동화된 복구보다는, 외부 전력 인입과 내부 블랙스타트를 조합한 구획별 수복 전략이 사용되었다. 스페인 본토를 몇 개 지역 섬으로 분리하여 각각 재가동한 후 이들을 연결하는 방식이다.

우선 프랑스와의 400kV 인터커넥터가 연결된 카탈루냐(동북부) 지역과 바스크/나바라(북부) 지역에서 프랑스 측으로부터 전력 공급을 받아 내부 계통을 기동했다. 프랑스 TSO(RTE)는 긴급지원으로 전압과 전력을 공급해 주었고, 스페인 측은 이 전력을 이용해 해당 지역 변전소와 발전기들을 재가동했다. 남부 안달루시아는 모로코에서 최대 100MW까지 응급 송전을 받아 섬 계통을 구성했다. 포르투갈도 자체적으로 일부 수력발전 블랙스타트를 시도함과 동시에 스페인-포르투갈 연계선을 통해 스페인 북부에서 일부 전력을 공급받아 복구를 시작했다 (양국 계통운영자는 긴밀히 협조하였다).

국내 자원 기동:

외부 지원과 병행하여, 국내 발전자원의 블랙스타트가 이뤄졌다. 스페인에는 자체 기동능력이 있는 수력 발전소들이 다수 있다. 이에 따라 갈리시아(북서부), 아스투리아스-칸타브리아(북부), 두에로강 유역(중북부) 등에 위치한 일부 대형 수력발전소들이 발전기를 무정전 기동하고 자체 섬을 만들었다. 이렇게 형성된 작은 섬들은 이웃 섬(예: 바스크 섬, 카탈루냐 섬 등)과 순차적으로 동기화되며 합쳐졌다. 원자력 발전소들은 자동정지 후 자체 디젤발전으로 안전을 유지했고, 복구 과정에서 우선 외부 전원을 끌어다 원전의 중요 보조설비 전력을 공급하는 것이 중점 과제로 다뤄졌다. 14시 46분경까지 모든 원전의 외부전원 공급이 확보되어 냉각 등 필수설비 안전이 보장되었다.

복구 진행 상황:

복구 작업은 3개의 주요 광역 섬(카탈루냐-프랑스 섬, 바스크-프랑스 섬, 남부-모로코 섬)과 여러 내부 소섬을 통합하는 형태로 진행되어 하나의 통합 계통으로 수렴되었다. 4월 28일 오후 12:44 프랑스에서 바스크 지역 Hernani 변전소로 전압 인가가 이루어졌고, 13:07 Irun 변전소를 통해 북부 스페인에 첫 부하(31MW)를 재공급하면서 복구가 시작되었다. 거의 동시에 13:04 모로코에서 남부로 전력 지원이 들어와 남부 섬도 기동되었다. 이후 점진적으로 부하 투입과 섬 상호 연결이 계속되어 당일 22시 30분경 전체 부하의 약 50%가 복구되었다. 밤사이 추가 발전기 기동과 송전선 연결을 통해 이튿날(4월 29일) 07시까지 99.95%의 전력 공급이 회복되었다.

그리고 마지막까지 남은 극소수 지역(0.05% 미만)에 대한 복구와 계통 주파수/전압 안정화 작업이 완료된 시각이 4월 29일 14시 36분이었다. 결과적으로 정전 발생 19시간만에 전국 전력 공급이 거의 정상화된 것이다. 이후 4월 30일부터 계통운영은 평시 모드로 돌아갔지만, 향후 수 주간 REE는 재발 방지를 위해 예방적 운영 기준(예: 더 많은 예비력 확보, 낮시간 발전기 추가 기동 등)을 한시적으로 강화하여 적용하였다.

복구 체계와 훈련:

이번 사례는 국가간 협력 및 블랙스타트 인프라의 중요성을 재확인시켰다. 스페인은 프랑스, 모로코 양국으로부터 전력 지원을 받았는데, 특히 프랑스와는 비상시 상호급전 협정을 맺어두어 이러한 긴급 송전이 가능했다. 국내적으로도 REE와 배전사들, 발전사업자들이 계통 복구 절차에 따라 일사불란하게 움직였으며, 이는 사전에 정기적으로 시행한 블랙아웃 대응 훈련의 효과로 평가된다. 실제 복구 크로노โล지를 보면 분 단위로 대응이 이루어졌고, 가령 섬 운영 계획(Plan de Operación en Isla) 수립, 외부지원 타이밍 조율, 부하 단계 투입 등이 계획대로 진행되었다. 복구 과정에서 통신이나 디지털 시스템의 도움도 있었다. 예를 들어, SCADA와 통신망이 부분 정전 상황에서도 안정적으로 동작하여, 각지의 설비 상태를 실시간 파악하고 원격에서 차단기 투입·개방을 제어할 수 있었다.

사이버보안팀은 혹시 모를 공격에 대비해 복구 중에도 이상 트래픽 모니터링을 지속했으나 특이사항은 없었다. 이러한 전반적 복구체계의 성과 덕분에, 사회경제적 피해를 최소화하면서 신속히 전력공급을 재개할 수 있었다. (이후 통계에 따르면 정전으로 일시적으로 영향을 받은 인구는 1천만 명 이상이었으나, 인명피해는 없었고 핵심 공공서비스 전원은 비상발전 등으로 유지되었다고 보고되었다.)

7. 정책적 시사점 및 향후 권고 사항

이번 사태를 계기로 스페인 정부와 분석위원회는 전력계통의 안정성 제고와 재발 방지를 위한 다양한 정책 권고를 제시하였다. 이 권고들은 기술적 개선, 운영 프로세스 개편, 규제 및 제도 보완, 사이버보안 강화 등 다층적 영역을 포괄한다. 전문가 독자층을 염두에 두고 주요 시사점과 권고 사항을 아래에 정리한다.

1) 계통 전압 및 무효전력 관리 역량 강화:

가장 우선적으로, 전압 안정도 확보를 위한 기술·시장 메커니즘 개선이 권고되었다. 현재 스페인 계통은 전압제어 서비스가 동기식 발전기에만 한정되어 있는데, 이를 개편하여 재생에너지 등 모든 자원도 참여하는 새로운 무효전력 보상시장을 도입하기로 했다. 송전망 운영절차 7.4 개정안을 신속 승인하여, 태양광·풍력 등 비동기 발전원도 유상으로 전압조정 서비스를 제공할 수 있게 하고, 기술 중립적 경쟁을 통해 가장 효율적인 자원이 선택되도록 한다는 것이다. 이를 통해 전국 각지 분산자원들이 전압안정에 기여하도록 함으로써 지역 편중을 완화하고 비용 대비 효과를 높일 계획이다. 아울러 전압제어 의무 불이행에 대한 패널티 규정도 마련하여, 향후 동기식 발전기는 물론 모든 참여 자원이 지정된 무효전력 조정 임무를 충실히 수행하도록 유도할 예정이다.

2) 전력망 설비 투자 및 운영 개선:

송배전망 차원에서 전압제어 설비와 안정화 장치 확충이 권고되었다. 구체적으로, 동기 조상기(synchronous condenser)를 지역별로 설치하여 무효전력 연속 조정과 관성 제공 수단을 확보하고, 기존 FACTS 장치(유연송전시스템)의 성능을 개선하며, 새로운 분로리액터(분권 리액터)를 설치하는 등의 투자가 제안되었다. 이러한 설비들은 전압를 세밀하게 조정하고, 진동 시 감쇠력을 높여주는 역할을 한다. 또한 배전망 투자 계획에도 전압 관제 기술(온라인 전압 모니터링, 원격조정 설비 등) 확보를 의무화하여, 배전사들이 저전압계통의 역률관리와 데이터 수집을 강화하도록 권고되었다. 이와 함께, 이러한 설비들을 신속히 계획·설치할 수 있도록 규제 절차를 간소화하고 투자가 지연되지 않도록 행정적 지원을 하도록 했다. 결국 송전망-배전망-발전자원 전반에 걸쳐 전압 및 무효전력 관리 인프라를 대대적으로 확충하겠다는 것이다.

3) 발전기 및 설비의 기술적 신뢰도 제고:

발전기 개별의 보호동작 설정, 자동전압조정기(AVR) 튜닝, 전력망 접속 요건 준수 여부 등을 정기적으로 점검하고 검증하는 프로그램이 권고되었다. 특히 재생에너지 발전이 급증함에 따라, 이들의 고정 역률 운전 규정을 재평가하고 실시간 전압참여를 허용하는 방향으로 기술 기준을 개선할 필요가 지적되었다. 또한 여러 발전소가 공용 사용하는 접속 인프라(허브 변전소 등)에 대해서, 엄격한 기술 기준 및 운영책임 규정을 마련하기로 했다. 예컨대 하나의 변전소에 다수 PV/풍력이 접속된 경우, 해당 변전소 운영자나 연계자에게 그 설비들의 동시 탈락 방지를 위한 책임과 의무를 부과하고, 필요시 기술적 보강(예: 개별 차단제어)을 하도록 하는 것이다. 이러한 세부사항은 에너지 규제당국의 감독 강화와 연계되어 추진된다.

4) 모니터링과 규제 감독의 강화:

위원회는 모든 전력망 참여자(발전사, 배전사, 수용가)가 전압 및 역률 관련 의무를 준수하도록 감시·감독을 강화하라고 권고하였다. 이를 위해 정부 차원에서 특별점검을 실시하고, 필요시 위반사항에 대한 처벌 및 시정조치를 취하도록 했다. 또한 스페인 에너지 규제기관의 역량 강화를 위해, 기존에 여러 분야를 포괄하는 CNMC에서 전문 전담 에너지 규제위원회(가칭 국가에너지위원회)를 설립·보강할 것도 제안되었다. 에너지 분야는 기술 복잡성과 국가안보 측면 중요성이 크므로, 전담 조직이 깊이있게 감독하고 투명성을 높여야 한다는 논리이다. 이를 통해 향후 복잡한 기술규정 준수 여부를 상시 추적하고 선제 조치를 취할 것을 기대하고 있다.

5) 운영 절차 및 시장 제도의 개선:

계통운영 절차 측면에서는, 이번 사태에서 드러난 운영상 시간차 이슈를 보완하기 위한 권고가 나왔다. 즉 발전계획 수립과 실시간 운영 간 간극을 줄이기 위해 시장 프로세스를 개선하라는 것이다. 구체적으로, 전력시장 거래(정산) 시간을 실시간에 더 가깝게 단축하여 재생에너지 출력 변동이나 설비 트립 상황에 시장이 더 빨리 반응하도록 유도해야 한다고 밝혔다. 현재 수시간 단위로 열리는 인트라데이 시장을 보다 빈번하게 하거나, 필요시 발전기술제약을 반영한 유연성 시장 등을 추가 도입하여 운영자의 개입이 적어도 시장 메커니즘으로 충분한 예비력과 무효조정력이 확보되도록 하자는 취지다. 또한 국제 연계 운용 프로토콜도 재검토할 예정이다.

프랑스, 포르투갈과 맺은 상호협정에 따라 이번에도 연계선 차단·재투입 등이 이뤄졌지만, 향후 진동/안정도 문제가 발생할 때 더 세밀한 협조 체계 (예: 연계 용량 동적 조정, 정보 교환 신속화)를 구축할 필요가 있다는 것이다. 이 외에도, 계통운영자는 재발 방지를 위해 특별안전운영 모드를 개발하여 향후 유사 조건(초과 재생에너지, 저부하) 시 선제적으로 발전기 추가 투입, 전압 감시 강화, 보호설정 일시 조정 등의 조치를 취할 계획이다. 이는 이미 4월 30일 이후 시행 중인 강화운영조치의 일환이다.

6) 국제 연계 및 유럽 차원의 대응:

유럽에서, 강조되는 부분은 스페인-프랑스 등 국제 연계선 확충이다. 이베리아 계통의 고립 문제가 이번 사태를 키운 요인 중 하나인 만큼, EU 전체 목표(연계율 15%)에 부합하도록 인터커넥터 용량을 대폭 늘려야 한다고 권고되었다. 이는 단순 수급 경제성뿐 아니라 계통 안전성 측면에서도 필수적임을 재인식한 것이다.

스페인은 현재 프랑스와 신규 해저연계선 등을 추진 중인데 이를 가속화하고, 포르투갈-스페인 내부 북남 연계선도 강화하여 국경 간뿐 아니라 국내 지역 간 전송병목을 완화해야 한다고 지적되었다. 아울러 EU 차원에서 위험예방규정(2019/941)이나 계통운영 코드 등에 이번 사례를 반영할 필요성도 언급되었다. 기존에는 대정전 위험을 주로 공급부족(주파수 저하) 위주로 고려했는데, 공급과잉 상태에서의 과전압 대정전도 새로운 시나리오로 포함해 국가 위기대응 계획을 수정해야 한다는 것이다. 이와 관련해 EU 관계 기관과 지식 공유, 공동 연습도 제안되었다.

7) 사이버보안 및 디지털 대응 강화:

디지털 및 사이버 측면 권고도 상세히 제시되었다. 우선 EU NIS2 지침(네트워크·정보시스템 보안 지침 v2)과 CER 지침(Critical Entities Resilience)을 조속히 국내 법령으로 이행하여, 전력 부문의 모든 규모 기업에 사이버보안 규정을 확대 적용할 것이 권고되었다. 이는 현재 대형 사업자 위주인 규제를 중소 발전사까지 포괄하여 전 부문 사이버 위생수준을 향상시키려는 취지다. 또한 2024년 3월 발효된 전력망 사이버보안 네트워크규칙(Reg. 2024/1366)을 이행하여, 국가 중요 전력 인프라를 지정·목록화하고 일정 규모 이상 설비에 사이버 보안 관리체계 및 최소통제 요건(ISO 27001, IEC 62443 등 준거)을 24개월 내 갖추도록 추진할 계획이다.

특히 사이버 사고 즉시 통보 의무와 국경 간 협조 체계를 강화하여, 한 국가의 전력망 해킹이 주변국으로 파급되지 않도록 관리하게 된다. 아울러 스페인 INCIBE(국가 사이버보안 기관) 산하 전력 사이버 대응팀을 통해 전력 기업들에게 침해사고 대응 지원, 디지털 위협 모니터링, 정보 공유, 조기경보 서비스, 사이버 훈련(CyberEx) 등을 제공하고 이를 적극 활용할 것을 독려하였다. 실제 이번 조사에서도 1000여개의 IP와 각종 위협데이터베이스를 대조하고, 해외 전력망 공격 사례를 연구하는 등 INCIBE-CERT의 지원이 큰 역할을 했는데, 향후 평상시에도 산업제어망에 대한 24/7 모니터링과 정보공유 메커니즘을 상시화하기로 했다. 결국 “사이버 탄력성(cyber-resilience)”을 전력망 운영의 필수 요소로 인식하고, 기술적 방어뿐 아니라 조직 문화와 훈련을 포함한 다층적 보안능력을 높이겠다는 전략이다.

이상의 권고사항들은 분석위원회 보고서에 상세히 담겨 있으며, 스페인 정부는 이를 토대로 단기 조치와 중장기 개선계획을 수립해 나갈 것이라고 밝혔다. 특히 전력망 신뢰도와 에너지안보는 국가안보의 일부임을 인식하여, 이번 권고 이행 상황을 국가안전보장회의(NSC) 차원에서 점검하고 후속 지원을 아끼지 않을 방침이다.

요약하자면, 4·28 스페인 전력 위기는 에너지 전환 시대 전력망 운영의 새로운 위험상황을 부각시켰다. 재생에너지의 급속한 증가와 기존 규제·기술체계의 간극, 그리고 사이버·물리적 복합위협에 대한 대비 부족 등이 한꺼번에 노출된 사건으로, 다른 국가들도 이를 교훈 사례로 삼아야 한다. 이에 대한 대응으로 스페인은 기술적 인프라 투자, 제도 개선, 운영 패러다임 전환, 사이버보안 강화 등 종합대책을 추진키로 했다. 궁극적으로 신뢰도 높은 차세대 전력망을 구축하는 것이 목표이며, 이를 위해 국제 공조와 업계의 적극적인 참여가 필수적이다. “4·28 정전”은 사고의 크기 대비 큰 피해 없이 지나갔지만, 그 경고는 엄중하다. 향후 이 권고사항들이 차질 없이 이행되어, 스페인 및 유럽 전력망이 보다 탄탄하고 유연하며 안전한 시스템으로 거듭나기를 기대한다.

---

“2025년 4월 28일 전력 위기의 발생 경위를 분석한 위원회 비밀 해제(공개) 보고서” 요약

발간일: 2025년 6월 16일 ― 위원회(Comité 28-A) 제14차 회의에서 보고서를 의결‧상신한 날짜

1. 보고서 개요

2025년 4월 28일 12시 33분 30초, 이베리아 반도 전역에서 전압 0(블랙아웃)이 발생하며 스페인과 포르투갈 전력망이 유럽 대륙 계통에서 완전히 분리되었다. 같은 시각, EU 규정 2019/941 및 스페인 전력위험 대비계획 기준을 초과한 손실 부하·미공급 전력량이 확인되어 정부는 즉시 ‘전력 비상사태’를 선포했다. 스페인 정부는 이 선언을 유럽위원회와 프랑스·포르투갈 당국에 공식 통보하였다.

국가안전보장회의(NSC)는 사건 사흘 뒤인 4월 30일, 제3부총리 겸 생태전환부 장관의 명령으로 “4·28 전력 위기 원인분석위원회(이하 위원회 28-A)”를 설치하여 사태의 원인 규명과 개선책 마련을 맡겼다. 위원회가 도출한 보고서와 권고는 NSC 본회의의 승인을 거쳐 국무회의에 상정해야 한다. 위원회는 부총리를 의장으로, 국가안보국장·합동사이버사령관·국립정보센터(CCN-CNI)·중요기반시설보호센터(CNPIC)·에너지차관 등 정부 핵심 인사들로 구성되었으며, 기술서기국은 에너지차관실이 담당한다.

4월 30일 첫 회의에서 위원회는 ‘사이버·디지털 시스템 그룹(GTCSD)’과 ‘전력계통 운영 그룹(GTOSE)’ 두 개의 전문 분과를 꾸려, 물리적 운영 관점과 디지털·사이버 관점을 병행 분석하도록 했다. 최종 보고서는 사건의 맥락, 발생 경과 5단계, 기술·디지털 분석, 결론, 개선 권고 등을 담은 7개 본문과 12개 부속서로 구성된다.

위원회의 임무는 “2025년 4월 28일 전력 위기의 원인을 다각도로 조사하고, 시스템 취약점과 절차·역량 개선 방안을 제시하여 NSC에 제출하는 것”이며, 필요 시 민·관 전문가를 소환해 자료와 의견을 수집할 권한도 부여되었다.

2. 방법론 및 문서 관리

위원회는 업계의 자발적 협조에 기대어 사건 자료를 수집하였다. 그러나 방대한 분량과 복잡한 형식 탓에 정보 접수는 고르지 못했고, 일부 측정치는 교정값이 잘못 적용돼 조사 과정에서 수정이 필요했다. 장비나 인력 한계로 요구 수준의 세밀한 데이터를 제출하지 못한 사업자도 있었고, 보고서 마감일까지 회신되지 않은 항목도 남았다. 발전 단지의 복잡한 소유 구조 때문에 대표자 식별과 내부 협의에 시간이 걸리면서 자료 제출이 더 늦어지는 사례도 있었다. 자료는 조사 초기엔 빠르게, 후반으로 갈수록 현저히 느리게 도착해 분석팀이 여러 차례 추가 질의를 보내야 했지만, 최종적으로 사건 재구성을 뒷받침할 만큼의 신뢰도를 확보할 수 있었다고 위원회는 평가했다.

사이버·디지털 시스템분과(GTCSD)는 세 단계 조사 체계를 마련했다. 1단계에서 스페인 계통운영자(REE)의 문서와 현장 시스템을 검증하고, 2단계에서 주요 전력회사 제어센터를 점검했으며, 3단계에서는 이 센터가 관리하는 발전소 데이터를 추가 요청했다. 동시에 노출면 분석, 오픈소스·다크웹 모니터링, 해외 전력망 해킹 사례 비교 같은 예방 활동도 병행하였다. 이를 실행하기 위해 여섯 개의 신속대응팀(RRT)을 구성하고 별도의 기술조정팀을 두어 현장 분석과 자료 수집을 진행했다.

전력계통 운영분과(GTOSE)는 현장·원격 회의를 병행하며 업계와 지속적으로 접촉했다. 분석용 자료는 접근 제한이 걸린 보안 저장소에 보관되었고, 에너지부 산하 태스크포스가 이를 정리‧대조했다. 기술서기국은 111건의 공식 문서를 통해 770개 항목을 요청했고 대부분 회신을 받았다. 요청 자료에는 활성·무효전력, 주파수, 전압 계측치, 차단·탈락 시퀀스, SCADA 경보 로그와 같은 정량 데이터뿐 아니라 해석 보고서와 재발 방지 제안 등 정성 정보가 포함됐다. 필요한 경우 추가 질의를 통해 세부 사항을 보완함으로써 사건 전 주부터 복구 완료까지의 연속 정보를 갖춘 연표를 완성할 수 있었다.

위원회는 자발성, 비밀유지, 기술 제약이라는 조건 속에서도 다학제적 조사와 반복 검증을 통해 충분히 일관된 사실관계를 확보했다고 결론지었다. 이러한 문서 관리와 방법론이 뒤이어 제시될 기술·운영상 권고의 토대를 이룬다.

3.2025년 4월 28일 사건 경과 (Descripción de los eventos ocurridos el 28 de abril)

전력망이 무너진 하루를 온전히 이해하려면 오전부터 밤까지 이어진 일련의 과정을 시간순으로 세밀하게 들여다볼 필요가 있다. 사건은 갑작스러운 고장이라기보다 낮은 수요, 과잉 재생에너지, 제한된 전압 제어 자원이 서서히 겹치며 조성된 구조적 불안정 위에서 촉발됐다. 이하에서는 전력계통 운영자가 구분한 다섯 단계(단계 0~4)에 따라 사건 흐름과 핵심 원인을 상세히 설명한다.

단계 0. 사건 전 전압 불안정

1월 말, 3월 중순, 4월 22·24일에 이미 전압 변동이 관측되었지만 모두 단기 현상으로 종료돼 근본 대책은 뒤로 미뤄졌다. 28일 아침에도 상황은 비슷했다. 프랑스로 수출하던 1000 MW가 6시에 조정되자 400 kV 변전소 전압이 동시에 요동쳤고, 분산형 태양광은 보호계전이 과민하게 반응해 수초 단위로 접속과 차단을 반복했다. 부하가 역대 피크의 절반에 불과하고 태양광·풍력 비중이 80 %를 넘는 저부하-과발전 환경에서 이런 전압 출렁임은 계통의 일상적 스트레스로 흡수되었다. 그러나 이 시점 이미 무효전력은 계통 곳곳에 축적되고 있었고, 사고 직전까지 이어진 소규모 진동과 전압 상승이 ‘과전압 체질’을 만들었다.

단계 1. 계통 진동 억제 (12:00 – 12:30)

정오 직후 두 차례의 큰 계통 진동이 발생했다. 먼저 0.6 Hz 대역에서 주파수가 ±70 mHz 폭으로 빠르게 흔들렸고, 곧이어 0.2 Hz 대역에서 좀 더 느린 진동이 이어졌다. 운영자는 진동 감쇠를 위해 프랑스·포르투갈로 흐르던 전력을 급히 줄이고, 새벽부터 차단돼 있던 400 kV 송전선 세 가닥을 다시 투입했다. 동시에 북부·남부·중부 변전소의 분로리액터 다섯 대를 투입해 전압을 눌렀다. 겉으로 진동은 가라앉았지만 부작용은 즉각 나타났다. 연계선 축소로 잉여 전력의 배출로가 줄어든 데다, 송전망을 촘촘히 잇는 바람에 정전용량이 커져 과전압 압력이 더 높아졌기 때문이다. 운영자는 아직 허용 범위 안에 있다는 이유로 추가 비상 절차를 발동하지 않았다.

단계 2. 과전압에 따른 발전 손실 (12:32 00 – 12:33 18)

12시 32분이 되자 계통 전압이 선형 상승에서 기하급수적 상승으로 전환됐다. 57초 동안 프랑스로 나가던 전력이 1 GW 가까이 줄었고, 무효전력을 흡수할 곳이 사라지며 전압 상승은 가속되었다. 먼저 남부 안달루시아의 355 MW 태양광단지가 423 kV를 넘긴 순간 일괄 차단됐다. 이어 전국 배전계통의 중소형 재생설비가 보호계전에 걸려 순차적으로 떨어졌고, 불과 1분도 안 돼 525 MW가 증발했다. 낮은 수요, 과발전, 제한된 전압 제어라는 세 가지 조건이 맞물려 전압-발전기 탈락-전압 추가 상승의 악순환이 시작됐다.

단계 3. 전압 0 붕괴 (12:33 18 – 12:33 30)

12시 33분 18초 이후 사태는 초 단위로 급전개됐다. 안달루시아 355 MW 단지 탈락 직후, 같은 변전소 계통에 묶인 730 MW 설비가 연쇄 차단됐다. 전압은 1.06 pu를 넘겼고 주파수 방어 체계가 동작하기 전 이미 대형 발전기가 전압 계전에 걸려 이탈했다. 스페인-프랑스 연계선은 주파수 보정으로 수입을 늘리려 했으나 위상차 한계를 넘어서면서 19.620초에 보호 차단됐다. 이베리아 반도 계통이 외부와 완전히 끊기자 남은 발전기는 몇 초 만에 모두 탈락했고, 12시 33분 30초 계통 전압은 0 kV에 수렴했다. 전력망이 완전히 꺼지는 데 걸린 시간은 12.7초였다. 주파수 저하는 최종 단계에서야 임계치를 돌파했지만 이미 과전압이 계통을 붕괴시킨 뒤였다.

단계 4. 공급 복구 (12:33 30 28일 – 07:00 29일)

정전 확인 직후 계통운영자는 비상 복구 규정을 발동했다. 프랑스와 모로코 연계선으로 전압을 불어넣어 카탈루냐, 바스크, 안달루시아에 섬 계통을 만들고, 갈리시아·칸타브리아의 대형 수력발전소에서 블랙스타트를 시행했다. 섬들은 부하를 단계적으로 투입하며 동기화를 진행했고, 새벽 1시경부터 국경 간 상호 급전이 안정화되자 빠르게 영역을 넓혔다. 28일 22시 30분 전국 수요의 절반이 복전되었고, 29일 07시에는 99.95 %가 전력을 공급받았다. 잔여 구간 전압·주파수 조정과 원전 외부전원 연계까지 완료된 시각이 29일 14시 36분이었다. 18시간 만에 블랙아웃을 해제한 기록적 속도지만, 과전압 도미노의 위험성이 얼마나 치명적인지 여실히 드러낸 복구였다.

결국 4·28 정전은 낮은 수요, 재생에너지 과잉, 전압 제어력 부족이라는 구조적 문제 위에 진동 억제 조치가 더해지며 과전압 연쇄 반응을 일으킨 사례다. 이는 주파수만큼 전압과 무효전력 관리가 중요하며, 고립 계통에서는 특히 국제 연계선과 신속 대응 자원이 결정적임을 보여준다.

4. 분석

전력계통이 블랙아웃에 이르기까지 전압 · 무효전력 관리, 보호계전 동작, 국제 연계선 제어, 실시간 시장-운영 절차, 디지털 인프라 등 다층적 요인이 어떻게 상호작용했는지를 종합적으로 평가하였다. 본 장은 보고서 본문 64-141쪽 내용을 근간으로 하며, 각 절의 핵심 결론을 기술적 사실 위주로 정리한다.

전압 제어 의무와 활용 자원

스페인 전력망에서 220 kV 이상 변전소는 분로리액터 또는 조상설비를 통해 무효전력을 흡수하도록 법령(Real Decreto 647/2020)으로 의무화돼 있다. 400 kV 계통에 설치된 설비 규모는 분로리액터 1730 Mvar, 동기조상기·STATCOM 580 Mvar이며, 정상 시계열 상 최대 투입 한도는 약 930 Mvar이다. 4 월 28 일 11 시 30 분 시각 기준 실제 투입량은 355 Mvar(투입률 38 %)였다. 동기발전기는 무효전력 ±0.33 pu를 공급할 능력이 있으나 사건 당일 운전 중이던 11기 가운데 7기는 역률 제한값(0.95)으로 운전돼 계획 대비 평균 30 % 적은 무효전력을 흡수했다. 재생에너지 인버터는 고정 역률 0.98 (주간 기준)을 적용받아 실시간 전압 보정 자원으로 사용되지 못했다. 한편 배전망에는 소규모 분로리액터 210 Mvar가 분산 설치돼 있었으나 실시간 원격 제어 기능이 없어 사고 억제에 활용이 불가능했다.

단계 0 전압 불안정 분석

사건 3개월 전부터 고주기·저주기 전압 변동이 반복되었으며, 1월 31일·3월 19일·4월 22·24일 네 차례 과전압 경보가 발령되었다. 해당 시기 계통운영자는 변전소 리액터 전량 투입, 400 kV 회선 일부 개방, 도매시장-외(외부조정) 가스발전 예비 기동 등의 임시 처방을 시행했으나, 사후 분석 결과 근본 원인(저부하·고정 역률 제한)은 해소되지 않았다. 4 월 28 일 오전 6 시, 프랑스로 송출되던 1000 MW를 계약 절차에 따라 단계적으로 감축하면서 400 kV 노드 전압이 8 kV 급등했고, 10 시 30 분을 전후해 전압 변동 진폭이 1.5 배 확대되었다. 11 시 이후 일부 태양광 단지가 1.045 pu 이상 전압에서 3–6 초간 반복 차단-재투입 현상을 보였음에도 계통 주파수·전압은 규정 한계를 넘지 않아 비상 절차 발동 요건에는 해당하지 않았다.

단계 1 계통 진동 분석

12 시 이전 다섯 차례 소규모 진동은 0.25 Hz 이하 대역으로 관성·주파수 조정 자원에 의해 1 분 이내 감쇠되었다. 12 시 03 분 주파수 0.6 Hz, 편차 ±70 mHz 진동이 발생하자 REE는 진동 감쇠를 위해 프랑스·포르투갈 연계 송전량을 각각 600 MW·400 MW 축소하고, 400 kV 회선 3가닥(Besaya-Murueta·Almaraz-San Sebastián 외)을 재투입하였다. 추가로 북부・남부 변전소의 분로리액터 5대(220 Mvar)를 순차 투입하였지만 전압은 오히려 평균 4 kV 상승하였다. 두 번째 0.2 Hz 진동(12 시 19 분) 이후 운영자는 진동 억제 조치를 종료했으나, 이때 이미 계통 메쉬 수준이 당초 계획 대비 17 % 증가해 과전압 억제 여력이 급격히 감소하였다.

단계 2 과전압-발전 손실 분석

12 시 30 분 이후, 주파수가 50.02 Hz에서 49.98 Hz 사이를 유지하는 동안 계통 전압이 410–420 kV 범위로 상승하였다. 12 시 32 분 00 초부터 57 초 사이, 전국에서 총 525 MW가 탈락했으며 82 %가 태양광·풍력 인버터였다. 탈락 전압은 1.045–1.075 pu 범위였고, 탈락 설비의 36 %는 허용 한계(1.10 pu)에 도달하기 이전에 차단된 것으로 확인되었다. 전압 상승은 분산 차단 때문에 일시적으로 완화되는 듯했으나, 그 결과 프랑스 송전량이 추가로 430 MW 감소했고 과전압 압력이 역으로 확대되었다.

단계 3 전압 0 붕괴 분석

12 시 33 분 18 초 안달루시아 허브 A(355 MW)가 차단되면서 모선 전압이 1.06 pu에 도달하자 허브 B·C(총 730 MW)가 동일 보호계전 값으로 8 초 내 연속 이탈했다. 이때 북부 계통에서는 아직 전압이 1.03 pu에 머물러 있었으나 남북 간 전압 차이가 28 kV에 달해 송전선 2회선이 자계 보호로 동시 차단되었다. 프랑스 교류 연계선은 12 시 33 분 19.620 초 위상 각차 51 도, 무효전력 470 Mvar 상태에서 동기 안정도 한계를 넘어서 보호차단되었다. 이후 주파수는 3.4 초 동안 50 Hz → 48.7 Hz로 급락했고, 주파수 저하 부하차단(UFLS)은 지연 1800 ms로 설정된 탓에 단일 단계만 작동한 뒤 계통 전압이 이미 0 kV로 수렴해 효과를 내지 못했다.

연계선 기능 분석

사고 시 프랑스-스페인 연계 총 용량은 2800 MW(교류 1900, HVDC 900)이었으나, 계통 진동 억제 조치로 실효 용량이 1000 MW로 제한되었다. 시뮬레이션 결과 용량 제한이 없었다면 남부-북부 간 전압 차이를 최대 3 kV, 전압 상승 속도를 0.005 pu 완화해 분리 시간을 약 1 초 지연할 수는 있으나, 무효전력 과잉 자체를 해소하기에는 불충분한 것으로 분석됐다. HVDC(ESA1-Baixas) 순방향 제어도 주파수 급강하 단계에서 과전압 억제에 기여하지 못하였다.

기타 요인 분석

양수발전 2978 MW가 양수 모드로 운전 중이었으나 인덕티브 무효전력 흡수 설정이 30 % 수준으로 제한돼 전압 억제 기여도는 2 % 미만이었다. 전날 23 시에 고장 보고된 가스복합 460 MW 2기는 예열 소요 시간(90 분)을 충족하지 못해 사건 시점까지 계통병입이 이뤄지지 않았다. 보호계전 파라미터 검토 결과, 태양광 인버터의 27 %가 공통 전압 임계값을 사용하지 않아 차단 편차가 0.015 pu까지 벌어졌으며, 이로 인해 동일 변전소 내부에서도 탈락 순서가 불규칙하게 나타났다.

단계 4 공급 복구 분석

복구 절차는 연계선 전압 인가 → 수력 블랙스타트 → 섬 계통 병합 → 전국 동기화 순으로 진행되었다. 12 시 44 분 프랑스-바스크 Irun 변전소에 400 kV 전압이 인가되면서 31 MW 부하가 복구된 것을 시작으로, 13 시 04 분 모로코-안달루시아 선로를 통해 60 MW가 투입되었다. 17 시에는 카탈루냐 섬 계통이 480 MW까지 확대되며 북부와 동기화되었고, 22 시 30 분 전국 부하 약 50 %가 복전되었다. 이후 잔여 수력·가스복합 기동과 섬 상호 연결을 지속하여 29 일 07 시에 99.95 % 복전, 14 시 36 분 모든 기술 작업이 종료되었다. 부하 투입은 50 MW 계단으로 진행돼 주파수 과상승이 발생하지 않았다. 운영자는 복구 과정에서 STATCOM 340 Mvar를 우선 투입해 초기 무효전력 요구량을 충족시켰으며, 복구 6단계 체크리스트에 따라 연계선 위상·전압 편차를 0.02 pu 이내로 유지했다.

디지털 시스템 분석

SCADA, 보호계전 IED, RTU 등 1275대 디지털 장비의 72시간 로그를 포렌식 분석한 결과 악성 명령·비인가 접근은 발견되지 않았다. 다만 장비 41대에서 패치 미적용 취약점(CVE-2024-1123·1141·1280)이 확인되었으며, 17대는 암호 정책이 12자리-특수문자 규정에 부합하지 않았다. 현장 기술자가 태양광 인버터 보호 파라미터를 변경할 때 암호 인증 후 별도 감사 로그가 남지 않아 변경 추적이 어려웠고, 이는 차단 임계값 편차의 한 원인이 되었다. 사이버 분석 분과는 이러한 관리형 취약점이 사고 원인은 아니나, 향후 유사 위기 시 복구 지연 요인이 될 수 있다고 지적하였다.

요약하면, 4 · 28 정전은 무효전력 과잉, 제한된 전압 제어 자원, 보호계전 파라미터 불일치, 낮은 국제 연계 활용도가 복합적으로 작용해 과전압-발전 손실-도미노 붕괴를 일으킨 사례로 평가된다. 디지털 요소는 직접적 원인이 아니었으나, 일부 취약점은 후속 개선 대상에 포함되었다.

5. 결론

1) 디지털·사이버 측면 결론

조사위원회는 사고 발생 전후 72시간 동안 수집한 시스템 로그, 네트워크 패킷, 침해 지표를 종합 점검하였다. 분석 결과, 외부 위협 행위자가 제어망에 침투했거나 악성 명령을 주입한 정황은 확인되지 않았다. 네트워크 구간별 패킷 캡처에서도 비정상 프로토콜, 권한 상승 시도, 측면 이동 행위는 발견되지 않았다. 따라서 이번 블랙아웃의 직접적 원인은 물리·운영 요인으로 귀결된다. 다만 구현·운영 단계에서 노출된 다수의 관리형 취약점이 후속 위험 요소로 지적되었다. 첫째, 현장 RTU·IED 41대는 알려진 보안 취약점 패치가 누락되어 있었고, 이 가운데 일부는 제조사 서명 인증서를 오래된 알고리즘으로 유지하고 있었다. 둘째, 제어망과 경영망 간 네트워크 분리가 일부 사업장에서 논리적 VLAN에만 의존하고 있어, 감염 사고 발생 시 OT 영역으로 전파될 가능성을 완전히 배제하기 어렵다. 셋째, 인버터·보호계전 장비 17대는 패스워드 길이·복잡도 규정(12자·특수문자 포함)에 미달했으며 변경 주기도 규정보다 길었다. 넷째, 태양광 단지의 HMI는 현장 기술자가 전압-주파수 관련 파라미터를 변경할 때 감사 로그를 남기지 않아 추적성이 부족했다. 이런 항목은 사건 당시 악용되지 않았으나, 대규모 재생자원이 OT 자산으로 편입되는 흐름을 고려하면 중기적 안전성을 저해할 수 있다. 따라서 위원회는 24개월 내 NIS2·CER 지침에 따른 보안 관리체계 완비, 취약 자산 패치 완료, 네트워크 분리 및 다계층 탐지시스템 확대, 장비별 변경 추적 기능 추가를 권고한다.

2)전력계통 운영 측면 결론

이번 광역 정전은 단일 원인이 아니라 여러 구조적 취약점이 순차적으로 결합한 결과로 평가된다. 직접 방아쇠는 과전압으로 인한 발전 설비 탈락이다. 전압 상승이 소규모 재생설비에서 대형 허브까지 순차적으로 보호계전을 자극했고, 차단된 발전기가 무효전력 흡수를 중단하면서 전압은 더 높아졌다. 연계선 송전 제한은 이 잉여 전력을 계통 외부로 방출할 경로를 좁혔고, 동기 발전기는 수적으로 부족해 관성을 제공하기에 한계가 있었다. 보호 장치 측면에서도 일부 인버터는 계통 코드에서 규정한 1.10 pu보다 낮은 값에 트립이 설정되어 연쇄 차단을 가속했다. 주파수 저하 방어 장치(UFLS)는 설계 지연 시간 때문에 과전압 활성이 최고조에 달한 뒤에야 작동했으며, 부하를 줄인 결과 무효전력 과잉이 오히려 심화되는 부작용을 낳았다.

운영·시장 절차 상의 요인도 확인되었다. 4월 27일 밤 남부 가스복합 460 MW 설비에 전날 고장이 발생했음에도 예열 시간이 90분 이상 걸린다는 이유로 대체 기 투입이 늦어, 사고 시점에는 남부 전압 제어 자원이 부족한 채 운전되었다. 익일시장에서 확정한 발전 계획과 실시간 조건이 괴리된 상황에서, 부족한 유연성을 보충할 실시간 재조정 메커니즘이 충분히 작동하지 못한 셈이다.

위원회는 이러한 분석을 바탕으로 네 갈래 구조적 개선 필요성을 지적한다. 첫째, 전압·무효전력 조정 시장을 설계하여 재생 인버터와 동기조상기를 포함한 모든 자원이 무효전력 서비스를 제공하도록 유도해야 한다. 둘째, 400 kV 계통에 추가 분로리액터와 STATCOM을 배치하고, 배전 단계에도 원격 제어 리액터 설치를 의무화해 동적 전압 완충 능력을 확대해야 한다. 셋째, 보호계전 설정을 국가 단위로 재검증해 과민·비일관 트립을 제거하고, 공용 변전소 접속 규격을 강화해 단일 고장으로 수백 MW가 동시에 이탈하는 ‘허브 리스크’를 줄여야 한다. 넷째, 일일시장과 인트라데이 시장의 클로징 간격을 단축하고, 기술 제약 기반 예비력 계약을 확대해 실시간 유연성을 확보해야 한다.

3)종합 소결

사이버 영역에서는 사고를 직접 야기한 적대 행위가 발견되지 않았으나, 관리적 취약점 개선 없이는 향후 복구 과정이 지연될 수 있다는 것이 결론이다. 전력 운영 영역에서는 전압·무효전력 관리 자원이 구조적으로 부족한 상태에서 과전압이 연쇄 발전 손실을 일으켜 계통이 붕괴했다는 점이 핵심이다. 따라서 위원회는 관성 확보보다 먼저 전압·무효전력 제어력 확충을 최우선 과제로 삼아야 하며, 사이버 보안 성숙도 제고와 실시간 시장·운영 절차 개선을 병행할 것을 권고한다.

6. 제안된 조치

1)사이버 보안·디지털 인프라 분야

위원회는 사이버 영역에서 즉각적 공격 흔적은 발견되지 않았으나, 관리적 취약점이 축적될 경우 물리 사고와 동시에 ‘이중 위기’로 비화할 수 있다는 점을 강조하였다. 첫 번째 권고는 NIS 2 및 CER 지침을 최대한 앞당겨 국내법으로 이행하는 것이다. 이는 현재 법적 의무가 없는 5 MW 급 태양광부터 지역 열병합설비까지 포괄해 모든 전력 자산을 사이버 보호 범위에 넣겠다는 의미다. 두 번째로, 규제 당국이 파편화된 사고 통보 체계를 “24 시간 단일 접수 창구 + 고위험 시설의 즉시 상위 보고” 구조로 표준화해 전력망 공격 정보를 실시간 공유하도록 요구한다. 세 번째로, 각 사업자는 제한된 OT 인력 때문에 패치가 주기적으로 누락되는 상황을 해소하기 위해 ‘취약점 관리 달력’을 의무 제출하고, 규정된 기한 내에 패치 또는 완화 조치를 완료해야 한다. 네 번째로, 현장 장비 변경 추적이 불가능한 문제를 해결하기 위해 인버터·계전기 펌웨어는 모든 설정 변경을 중앙 서버로 자동 전송하고, 감독기관(CNMC)이 원격으로 표준 파라미터 준수를 검증할 수 있는 감시 API를 구현해야 한다. 마지막으로, IT-OT 분리 수준을 네 가지 등급으로 평가해 최소 2등급(방화벽 + 양방향 프로토콜 화이트리스트) 이상을 달성하지 못한 사업자는 연간 전력 판매 허가 갱신 조건에 불이익을 받도록 하여 보안 투자를 실질적으로 유도한다.

2)계통 운영·규제·시장 절차 분야

운영 분과는 전압·무효전력 제어 능력 부족이 구조적 원인임을 전제로 다층 대책을 제시했다. 가장 먼저, 전압제어 서비스(PO 7.4)를 올해 안에 개정하여 동기조상기·STATCOM·HVDC뿐 아니라 태양광·풍력 인버터까지 무효전력 입찰 시장에 참여하도록 허용한다. 이때 서비스 가격은 kV·kvar 반응속도 지표를 포함한 성능 기반 보상으로 설계하고, 의무 불이행 시 예비력 패널티 방식으로 제재해 실효성을 확보한다. 둘째, 전력망 투자 계획에 지정학적 분포 개념을 도입해 동기조상기 설치를 남부·동부·발렌시아 연안 등 과전압이 빈번한 지역에 우선 배치하고, 고장 개소 한 곳이 수백 MW를 연쇄 이탈시키지 못하도록 400 kV 신규 선로·분로리액터를 병행 증설한다. 셋째, 공용 접속설비에 대한 별도 법령을 제정해 ‘하나의 변전소 당 최대 접속 용량’ ‘차단 순서를 분리하는 회선 분할’ ‘보호 협조 시험 의무화’를 규정하고 위반 시 접속 약정 자체를 취소할 수 있게 한다. 넷째, 감독·집행을 전담할 독립 에너지 규제부서를 CNMC 안에 강화 설치하고, 연 2회 이상 현장 점검·모의 사고 테스트를 수행해 위반 사항을 적발·공표한다. 다섯째, 인트라데이 시장 게이트 클로징을 30분으로 단축하려는 EU 규칙은 기술 제약·RAM(전송가능용량) 계산을 반영한 전환 계획이 마련될 때까지 2029년 1월로 유예를 요구하고, 그동안 조정서비스를 재설계해 ‘5분 전’ 가격 신호가 실시간 발전·저장 자원을 끌어올 수 있게 한다. 여섯째, 양수·배터리 저장을 공익 인프라로 지정해 환경·건설 인허가를 18개월 이내로 간소화하고, 독립 수요반응 사업자에게 정산 서버 접근권과 실시간 측정용 API를 열어 주어 유연성 자원을 빠르게 늘린다. 마지막으로, 복구 절차 PO 9 개정안을 통해 블랙스타트 목록 공개 빈도를 분기마다로 단축하고, 자가 기동 능력이 없는 신재생 단지는 복구 단계에서 주파수·전압 추종 모드로만 참여하도록 기술 규정을 명문화한다.

7.유럽 차원의 성찰

1)대륙 간 연계 확대의 전략적 가치

위원회는 이베리아 반도를 대륙 그리드와 실질적으로 통합하는 것이 단순 전력 교역 이상의 전략적 의미를 지닌다고 평가한다. 연계율 3 %는 과잉 전력이 체류하는 시간을 늘려 과전압 위험을 키우며, 블랙스타트 시 주파수·전압 지지원을 받을 채널도 협소하다. 따라서 피레네 산맥 횡단 교류선 2회선, 바스크 연안 해저 HVDC 1조의 조기 완공, 포르투갈-서부 스페인 내부 북남 연계선 보강은 EU 안보 인프라로 재분류해 융자·허가 절차를 가속화해야 한다.

15분 단위 시장 전환 검증

유럽 집행위와 ACER는 15분 결제단위를 범EU 도매시장으로 확대하려는 계획을 추진 중이나, 위원회는 고속 변동 자원의 확보가 시장 IT 인프라ㆍ운영 훈련보다 빨리 진전되지 않을 경우 오히려 예비력 공백이 커질 위험을 지적한다. 이에 따라 집행위에 비용-편익 재평가, 단계적 파일럿 지역 운영, 계통 안전성 지표 모니터 의무화를 공동 제안하기로 했다.

2)인터존 게이트 클로징 30분 규칙 유예

현재 60분 GCT를 30분으로 단축하면 예측 오차 허용 시간이 줄어들어 변동성이 큰 태양광 비중이 높은 국가일수록 고정 가격 거래를 회피하고 실시간 시장 의존도가 급등한다. 이 과정에서 가격 스파이크가 발생할 가능성이 커지며, 의무 예비력 확보가 더 어려워질 수 있다. 따라서 스페인은 2029년까지 유예를 요구하면서, 유예 기간 동안 가격 스파이크 완충 장치로서 분산형 저장·수요반응을 제도권에 신속히 편입할 계획이다.

3)조정·유연성 서비스의 기술 중립성

무효전력·전압 제어, 고속 예비력, 블랙스타트 등 신규 서비스 설계 시 특정 기술에 사전 가산점을 주지 않고, 응답 시간·지속 시간·신뢰성 등 객관적 지표로만 입찰을 평가해야 한다는 원칙을 EU 전력 협력그룹(TSO Cooperation Platform)에 제안한다. 기술 중립성은 비용 효율을 높이고 혁신을 촉진하는 동시에, 후발국이 상대적으로 저렴한 기술 패키지를 채택할 기회를 확대한다.

4)위험예방 규정과 계통 운영 코드 개정

현재 EU 위험예방 규정은 주파수 저하·발전 부족 시나리오에 초점을 맞추고 있으나, 4·28 사건은 저부하·과전압도 대륙 계통을 붕괴할 수 있음을 입증했다. 스페인은 전압 폭주 시나리오를 공식 위험 리스트에 포함하고, 회원국 비상계획 내 ‘전압·무효전력 방어 단계’를 의무 반영하도록 규정 개정을 제안할 방침이다. 또한 ENTSO-E 운영 코드를 업데이트하여 분산형 인버터의 무효전력 응답, 공용 접속 허브의 단계별 차단, 무효전력 준비 서비스 의무량 계산식을 구체적으로 명시할 것을 건의한다.

위원회는 이 다섯 가지 성찰이 이베리아 반도뿐 아니라 가파른 재생 확산을 겪는 모든 회원국 그리드의 탄력성과 복원력을 강화하는 공동 로드맵이 될 것이라고 결론짓는다.