[#2] ETTO 원칙으로 다시 읽는 안전관리 — 왜 이해가 핵심인가 [Chapter 1-1]
SAFETY MANAGEMENT · CHAPTER 1 · PART 1/4
왜 우리는 여전히 “왜 실패했는가”를 이해해야 하는가
Chapter 1-1 · Safety Requires Knowledge
ETTO(Efficiency-Thoroughness Trade-Off)를 제대로 이해하려면 먼저
출발점을 분명히 해야 한다. 안전은 단지 규정 준수의 문제가 아니라,
불확실한 조건에서 무엇이 잘못될 수 있는지 미리 이해하고 대응하는
능력의 문제다. Chapter 1의 첫 파트는 이 가장 기본적인 질문, 즉 “왜 실패
원인을 이해하는 일이 여전히 핵심인가”를 다룬다. 이번 글은 ETTO
시리즈의 토대가 되는 문제의식과 실무 질문을 좀 더 촘촘하게 정리한다.
이해하는 것이 안전관리의 출발점이다.
1) “예방이 치료보다 낫다”는 문장의 진짜 의미
안전관리의 출발점은 분명하다. 문제를 고치는 것보다 문제를 예방하는
편이 비용도 낮고, 피해도 작으며, 운영 신뢰도도 높다. 이 원칙은 의료,
산업, 교통, 공공 시스템 어디에서나 동일하게 적용된다. 하지만 이 문장을
선언으로만 쓰면 쉽게 공허해진다. 포스터와 슬로건은 행동을 유도할 수
있어도, 운영 구조를 바꾸지 못하면 결국 현장은 기존 관성대로 움직인다.
예방은 구호가 아니라 설계다. 어떤 위험을 얼마나 빨리 감지할지, 누가
어떤 권한으로 멈춤을 결정할지, 실패 징후가 보였을 때 우선순위를 어떻게
바꿀지까지 포함해야 한다. 즉 “예방하자”는 말보다 중요한 것은, 예방이
실제로 작동하는 운영 루프를 갖고 있는가다. 루프가 없으면 경고는
쌓이고, 의사결정은 지연되며, 같은 유형의 징후가 반복된다.
실무에서는 예방을 “사건이 없었던 상태”로 오해하기 쉽다. 그러나 사건이
없었다는 사실은 예방의 성공일 수도 있고, 단지 운이 좋았던 결과일 수도
있다. 그래서 성숙한 조직은 무사고 기간만 보지 않고, 그 기간에 어떤
이상 신호가 있었는지, 신호가 포착됐을 때 어떤 조치가 실제로
실행됐는지를 함께 점검한다.
2) 완전한 예방이 불가능하다는 사실을 받아들이는 이유
현실의 작업은 늘 제약 속에서 이루어진다. 시간은 부족하고, 인력은
한정되고, 정보는 지연되거나 불완전하며, 동시에 성과 요구는 줄지
않는다. 이런 조건에서는 “모든 상황을 사전에 통제한다”는 목표가 애초에
성립하기 어렵다. 복잡한 시스템일수록 변수는 늘어나고, 변수 간
상호작용은 더 예측하기 어려워진다.
그래서 안전관리의 성숙도는 완벽주의에 있지 않다. 오히려 불완전성을
전제로, 실패 가능성을 낮추고 실패 이후의 충격을 흡수하도록 만드는
능력에 있다. ETTO가 강조하는 현실성은 여기서 시작된다. 완벽을
부정해서가 아니라, 완벽을 전제한 체계가 현장에서 가장 먼저 무너진다는
사실을 알기 때문이다.
“완전한 예방은 불가능하다”는 문장은 체념이 아니다. 이 문장은 오히려
책임 있는 설계자의 문장이다. 통제 불가능한 영역을 인정해야, 통제
가능한 영역(업무 분장, 확인 절차, 예외 승인, 대응 속도)에 자원을
집중할 수 있다. 현실을 과소평가한 낙관보다, 현실을 반영한 설계가 더
높은 안전을 만든다.
3) 안전을 “위험의 부재”가 아닌 “위험의 관리”로 봐야 하는 이유
ETTO 문맥에서 안전은 흔히 “수용 불가능한 위험으로부터의 자유”로
설명된다. 이 표현은 위험이 0이 되는 세계를 상정하지 않는다. 대신,
무엇을 수용 가능 범위로 둘 것인지 끊임없이 판단해야 한다는 운영 과제를
던진다. 즉 안전은 정답 하나를 찾는 일이 아니라, 변동하는 조건 속에서
기준을 업데이트하는 일이다.
결국 안전은 상태값이 아니라 판단 품질이다. 같은 위험이라도 맥락에 따라
허용 기준이 달라질 수 있고, 같은 절차라도 일정 압박과 자원 상태에 따라
실제 위험도는 크게 변한다. 따라서 안전정책은 고정 문서가 아니라, 변화
조건을 반영하는 관리체계여야 한다.
실무에서 자주 발생하는 문제는 ‘기준은 있는데 적용이 균일하지 않은’
상황이다. 문서상으론 엄격하지만 실제 의사결정에서는 일정 압박이나
KPI가 기준을 우회한다. 이런 괴리를 줄이려면 기준 자체보다 적용 조건을
함께 설계해야 한다. 누가 예외를 승인할지, 어떤 경우 자동 중단할지,
예외가 반복되면 어떻게 기준을 수정할지까지 명시돼야 한다.
4) 실무 질문 1: 무엇이 잘못될 수 있는가
첫 번째 질문은 단순하지만 가장 자주 피상적으로 다뤄진다. “무엇이
잘못될 수 있는가”를 묻는다는 것은, 단일 고장 시나리오가 아니라 여러
작은 변동이 어떻게 결합되어 실패로 이어지는지를 보는 일이다. 특히
인터페이스 구간(부서 간 인계, 시스템 간 전환, 교대 시점)에서 위험이
집중되는 경우가 많다.
여기서 중요한 건 목록의 양이 아니라 구조다. 위험 목록을 많이 만드는
것보다, 어떤 경로로 전개되는지, 어떤 징후가 선행 신호인지, 어느
시점에서 되돌리기 어려워지는지를 함께 정의해야 한다. 그래야 이 질문이
보고서 항목이 아니라 운영 도구가 된다.
예를 들어 “점검 누락”이라는 단어 하나로 끝내면 개선은 교육 재강조로
귀결된다. 하지만 누락이 왜 반복됐는지(시간 압박, 체크리스트 가독성,
도구 접근성, 승인 지연)를 분해하면 개입 포인트가 구체화된다. ETTO
관점은 바로 이 분해의 깊이를 요구한다.
5) 실무 질문 2: 어떻게 예방하고 어떻게 보호할 것인가
두 번째 질문은 “막을 수 있는가”이고, 세 번째는 “못 막으면 버틸 수
있는가”다. 예방과 보호를 분리해서 설계하지 않으면, 조직은 보통 예방
실패를 개인 책임으로만 처리하게 된다. 그 결과 같은 유형의 실패가
형태만 바꿔 반복된다. 예방만 강조하면 초기 대응이 느려지고, 보호만
강조하면 근본 취약점이 고착된다.
예방은 조기 감지와 사전 개입의 설계이고, 보호는 피해 제한과 복구
속도의 설계다. 둘은 대체재가 아니라 동시 설계 대상이다. ETTO 관점에서
안정적 시스템은 “실패를 막는 체계”이면서 동시에 “실패를 흡수하는
체계”다.
실무 프레임으로 바꾸면 이렇게 된다. 예방 측면에서는 점검 루틴, 경보
임계치, 중단 권한을 설계하고, 보호 측면에서는 우회 경로, 백업 자원,
복구 시나리오를 설계한다. 어느 한쪽이 빠지면 시스템은 성과 압력 앞에서
쉽게 한쪽으로 기울어진다.
6) 왜·무엇·언제를 모르면 통계만 남는다
실패 이해의 핵심 축은 why(왜), what(무엇), when(언제)다. 왜를 모르면
원인 메커니즘을 건드릴 수 없고, 무엇을 모르면 대응자원 배분이
틀어지며, 언제를 모르면 조기 경보 체계를 세울 수 없다. 이 세 축은
독립항목이 아니라 하나의 의사결정 체인이다.
이 세 축이 빠진 조직은 결국 후행 지표에 의존한다. 사고 건수, 손실
규모, 분기 평균 같은 숫자는 중요하지만 느리다. 반대로 why/what/when이
확보되면 위험 우선순위와 중단 기준, 예외 승인 규칙, 현장 권한 범위를
선제적으로 조정할 수 있다.
그래서 선행 지표가 필요하다. near miss 증가, 점검 축약 빈도, 승인 지연
시간, 교대 인수인계 누락률 같은 데이터는 “사고 직전”이 아니라 “사고
이전의 기울기”를 보여준다. ETTO는 바로 이 기울기를 읽어내고 복원하는
프레임으로 쓸 때 실무 가치가 커진다.
7) Part 1 정리: 안전은 결과가 아니라 매일의 의사결정 설계다
Chapter 1-1의 요지는 분명하다. 안전은 “사고가 없었다”는 결과 문장이
아니라, 사고가 만들어지는 조건을 계속 탐지하고 수정하는 운영 능력이다.
원인을 이해하지 못하면 개선은 우연이 되고, 우연에 의존하는 시스템은
결국 취약해진다. 즉 안전의 본질은 처벌의 강도가 아니라 학습의 속도와
설계의 정밀도에 있다.
여기서 ETTO의 관점 전환이 시작된다. 사람의 실수를 고치는 것만으로는
한계가 있고, 사람의 선택을 형성하는 조건(시간, 자원, 목표, 평가
방식)을 함께 바꿔야 한다. 동일한 사람도 다른 조건에 놓이면 다른 결정을
내린다. 그러므로 재발 방지의 단위는 개인이 아니라 시스템까지
확장되어야 한다.
다음 파트에서는 이 토대 위에서 한 단계 더 들어간다. 왜 조직과 인간이
빠른 설명을 선호하는지, 왜 사고 분석은 종종 첫 번째 그럴듯한 원인에서
멈추는지, 그리고 그 멈춤 규칙(stop rule)이 안전 학습의 깊이를 어떻게
제한하는지를 본격적으로 다룬다.