SCADA가 송전망의 신경계인 이유: 보지 못하면 운영할 수 없다
SCADA(Supervisory Control and Data Acquisition)는 전력 계통 운영의 가장 기본적인 인프라다. 발전소 출력, 송전선 조류, 변전소 전압, 차단기 상태 같은 수만 개의 데이터 포인트가 매 초 단위로 수집되어 중앙 급전 지령소의 화면에 표시된다. 운영자는 이 화면을 통해 자신이 직접 가본 적 없는 수백 킬로미터 떨어진 설비의 상태를 실시간으로 파악하며, 필요한 경우 원격으로 차단기를 조작하거나 출력 명령을 내린다.
SCADA가 없다면 운영자는 사실상 눈을 가린 채 시스템을 운영하는 셈이다. 어디서 무슨 일이 벌어지는지 알지 못하면, 어떤 결정도 내릴 수 없고, 어떤 결정을 내려도 그 결과를 확인할 방법이 없다. 1965년 미국 북동부 대정전이 발생했을 때 운영자들이 가장 먼저 한 일은 라디오 방송을 통해 어느 도시가 정전되었는지 알아내는 것이었다.
한국전력거래소의 시장운영 자료가 정리한 사후 분석에 따르면, 이 사건 이후 광역 가시성 확보가 모든 계통 운영의 출발점으로 자리 잡았다.
RTU와 데이터 수집: 현장의 모든 변화를 디지털로 변환
SCADA의 가장 말단에는 원격 단말 장치(RTU, Remote Terminal Unit)가 있다. RTU는 변전소나 발전소 현장에 설치되어 각종 센서로부터 아날로그 값을 받아 디지털 신호로 변환한 뒤 중앙 시스템에 전송한다. 전압계, 전류계, 온도 센서, 차단기 접점 상태 같은 모든 정보가 RTU를 거쳐 디지털화된다.
여기서 가장 중요한 설계 결정은 샘플링 주기다. 1초에 한 번 측정하면 그 사이에 벌어진 일은 알 수 없다. 반대로 너무 자주 측정하면 통신망에 과부하가 걸리고 저장 비용도 폭증한다. 운영의 목적에 맞는 적정 주기를 찾는 것이 RTU
설계의 핵심이며, 이는 정보 시스템에서 로그 수집 정책을 정할 때와 동일한 원칙이다. 한국전력공사도 식별 단계의 첫 번째 요건으로 자산의 가시성을 명시하고 있다.
통신 프로토콜: 데이터의 신뢰성을 결정하는 약속
RTU가 수집한 데이터는 통신 프로토콜을 통해 중앙으로 전송된다. DNP3, IEC 61850, Modbus 같은 표준 프로토콜이 사용되며, 각 프로토콜은 데이터 형식, 오류 검출 방식, 전송 속도, 보안 메커니즘을 규정한다. 같은 데이터라도 다른 프로토콜로 전송되면 해석이 달라질 수 있고, 프로토콜 간 변환 과정에서 무결성이 손상될 수도 있다.
정보 시스템에서도 API 명세, 데이터 스키마, 메시지 큐의 프로토콜 같은 약속이 동일한 역할을 한다. 두 시스템이 데이터를 주고받을 때 그 형식과 의미에 대한 합의가 명시적으로 정의되어 있지 않으면, 한쪽이 "1"을 보낼 때 다른 쪽이 그것을 "참"으로 해석할지 "1개"로 해석할지 알 수 없다.
신호 중계 릴레이의 물리학에서 살펴본 무결성 보존의 원리는 SCADA 통신에서도 동일하게 작동한다.
HMI: 운영자가 시스템을 보는 창
중앙으로 모인 데이터는 HMI(Human-Machine Interface)를 통해 운영자에게 표시된다. 송전망의 단선도, 변전소의 결선도, 발전소의 출력 추세 그래프가 화면에 나타나며, 운영자는 이 시각화를 보고 시스템 상태를 파악한다. HMI 설계가 잘못되면 같은 데이터를 가지고도 운영자가 잘못된 결론을 내릴 수 있다.
경보 우선순위 설정이 특히 중요하다. 위급 상황과 경미한 알림이 같은 화면에 무차별적으로 나열되면, 운영자는 진짜 위협을 놓친다. 항공 사고 조사 보고서에서 반복적으로 등장하는 "경보 피로(alarm fatigue)" 문제가 SCADA 운영에서도 동일하게 발생한다. 운영자가 하루에 수천 개의 알림을 처리해야 한다면, 그 중 진짜 위협이 묻혀버린다. 정보 대시보드 설계에서도 같은 원리가 적용되며, 모든 지표를 동일한 비중으로 표시하는 화면은 사실상 어떤 지표도 강조하지 못하는 화면이다.
제어 명령: 보는 것을 넘어 조작하는 단계
SCADA의 두 번째 기능은 원격 제어다. 운영자는 화면의 차단기 아이콘을 클릭하여 수백 킬로미터 떨어진 변전소의 실제 차단기를 동작시킬 수 있다. 이 명령은 통신망을 타고 RTU에 도달하고, RTU가 물리적 신호로 변환하여 차단기 코일에 전달한다. 명령이 실행되면 차단기의 상태 변화가 즉시 SCADA로 회신되어 운영자가 결과를 확인한다.
이 폐쇄 루프가 깨지면 매우 위험한 상황이 벌어진다. 명령은 보냈지만 회신이 없는 경우, 운영자는 차단기가 동작했는지 알 수 없다. 동작했다고 가정하고 다음 동작을 진행했는데 실제로는 동작하지 않았다면, 사고로 직결된다.
한국에너지공단의 정보 자료가 명령과 회신의 무결성을 그토록 엄격하게 정의하는 이유다.
이력 데이터: 사후 분석의 기반
SCADA가 수집하는 모든 데이터는 이력 데이터베이스(Historian)에 저장된다. 평시에는 단순히 적재되어 있는 상태지만, 사고가 발생하면 이 데이터가 원인 분석의 결정적 근거가 된다. 사고 직전 몇 초 동안 어떤 신호가 어떤 순서로 변화했는지를 밀리초 단위로 재구성할 수 있어야, 두 번째 사고를 막을 수 있다.
이력 데이터의 가치는 평시에는 잘 보이지 않는다. 단순히 저장 비용만 발생하는 것처럼 느껴진다. 그러나 사고 한 번이 발생하면 그 비용은 즉시 회수된다. 조직이 운영하는 모든 시스템에서도 동일하다. 평시에는 부담처럼 느껴지는 감사 로그, 변경 이력, 의사결정 기록이 사고 발생 시 유일한 진실의 출처가 된다.
이중화 설계의 원칙에서 다룬 백업의 가치와 같은 맥락이다.
SCADA의 한계: 보는 것만으로는 부족하다
SCADA는 본질적으로 감시와 제어의 도구이지, 의사결정 자체를 대신하지는 않는다. 화면에 표시되는 정보는 모두 과거의 사실이고, 그것을 보고 미래에 어떻게 대응할지는 여전히 운영자의 판단에 달려 있다. SCADA가 정교해질수록 운영자는 더 많은 정보를 보게 되지만, 정보의 양 자체가 좋은 결정을 보장하지는 않는다.
현대 전력망은 SCADA 위에 EMS(Energy Management System), DMS(Distribution Management System), 그리고 분석 도구들을 쌓아 올려 의사결정 보조 능력을 확장하고 있다. 그러나 어떤 도구도 운영자의 책임을 면제해주지는 않는다. 도구는 더 나은 결정을 가능하게 하지만, 결정 자체는 여전히 사람의 영역이다. 이 원칙은 모든 정보 시스템에서 동일하게 적용된다.
