6일 부터 나오던 보도인데, 정말 좀 황당하기는 하지만 그만큼 충격적인 이야기다 보니 어제부터 슬슬 국내 게시판에도 올라오는데가 있는 거 같습니다. 폴란드의 차량제조회사인 Newag가 공급한 전기동차가 제3자의 정비서비스를 받게 되자 동작불능이 되어버렸다는 이야기입니다. 혹자는 이걸 폭스바겐의 디젤 배기가스 조작사건인 디젤게이트의 철도버전이라고 표현하는데, 그런대로 비슷한 케이스라면 케이스일겁니다.
사건의 전말은 위 링크에 간단히 설명이 있고, 또 링크로 들어가면 현지언론의 보도를 링크해두고 있으니 어떤 분위기인가를 보려면 참고하면 될 듯 합니다. 그래도 영문 자료 보기 귀찮은 분들을 위해서 간단히 요약을 하자면, Koleje Dolnośląskie(돌로스키예 철도 내지는 하부 실레시아 철도)에 대해 NEWAG가 공급한 Impuls 전기동차가 100km주행 후의 정비, 그러니까 중수선이고 아마 우리나라로 치면 4년차 내지 6년차의 전반검수 정도에 해당하는 정비를 받을 주기가 도래해서 이걸 수행할 사업자를 입찰로 결정을 했습니다. 여기서 Newag가 비싼 가격을 불러서 서드파티라 할 수 있는 업체인 SPS Mieczkowski가 낙찰을 받아 수행하게 되었습니다. 참고로 사업 가액은 정확하지 않지만 총 90억원 전후쯤 되었던 모양입니다.
어쨌던 SPS 쪽이 낙찰을 받고 제조업체가 제공한 2만페이지 상당의 지침서에 따라서 정비작업, 전반검사에 해당하니 주요부품의 분해정비 및 재조립을 실시했던 것으로 보입니다. 그렇게 재조립을 해서 차량 기동을 시켜보니 아무런 경고등 동작도 없는 상태에서 차량이 운행불가 상태가 되었다고 합니다. 이후 입창된 차량들 역시 같은 식의 동작불가에 빠졌고, 다른 작업장에서 정비한 차량도 그렇게 되었습니다. 적시 정비완료된 차량 제공이 이루어지지 않자 해당 회사는 벌금을 부과받았고, 결국 어떻게 해도 기일을 맞추지 못해서 사업계약을 상실할 위기에 빠졌다고 합니다.
이후 소프트웨어 쪽에서 뭔가 이상한 부분이 있어서 전문적인 해커에게 의뢰해서 차량의 소프트웨어를 분석해 들어갔는데... 계약취소 당하기 직전에서 기동 방법을 발견해서 차를 살려냈었다고 합니다. 한달 반 정도에 걸쳐 소프트웨어 쪽에서 특정 플래그가 동작해야만 차량이 움직일 수 있게 되는 걸 발견해서 이걸 가동시켜 살려낸 것이었습니다. 그리고 이게 왜 동작하는지를 역엔지니어링을 통해 찾아나가는데, 그 분석에서는 특정한 GPS좌표에서 10일 이상 체류한 경우 열차를 가동중지 시키도록 프로그래밍이 되어있었다고 합니다. 또, 100만km 주행시 동작중지를 걸거나, 특정 날짜에 도달하면 동작을 멈추고 공기압축기 고장 경보를 현시하도록 하는 코드 등이 있었다고 합니다. 이걸 해제하는 건 차량에서 특정한 키 조합을 누르는 것으로 해제가 되도록 되어 있었다고도 합니다.
동일 차종에 대해서 이런 코드가 삽입되어 있는지 전국의 다른 작업장에 통보를 해서 확인한 결과, 29개의 열차를 조사했고 이중 5개 만이 해당 내용이 없었다고 합니다. 그리고 이 분석을 담당한 해커들은 12월 5일 해커 컨퍼런스에서 이 사항을 발표했었다고 하고... 이후는 대형 스캔들이 되어버린 것으로 보입니다. Newag는 일단 사실이 아니라고 부인하면서 임의적인 해킹에 대해서 비난하는 보도를 발표했고, 당연히 해당 회사의 주가는 하루만에 최대 17%가 날아가기까지 했었다고 하며, 현재 당국이 수사에 들어가서 사실관계 확인을 하고 있다 합니다.
이렇게 이야기를 했더니 혹자는 이게 왜 문제입니까, 남의 기계를 함부로 뜯어보려 드는 경쟁자를 실력으로 제압한 거 아닙니까라고 말하는 흡사 러시아의 스탈린 빠돌이들 같은 말을 하는 사람도 있을 듯 하니 좀 부연 설명을 넣어둡니다. 일단 차량을 발주할 때 체결하는 계약조건은 일정기간 내지 주행거리 동안 발생하는 제조하자 외에는 전부 차량의 발주 및 운영자의 책임이라 할 수 있습니다. 계약서에서도 보통 발주자의 규격서에 차량은 어떻게 동작하고 어떤 사양과 기술을 써서 제작하며, 정비 관련해서 어떤 자료를 제출해서 인계인수를 하도록 명시가 되어 있고, 그 자료에 근거해서 정비를 했을 때 문제가 생기지 않아야 정상이라 할겁니다. 그런데, 특정 조건하에서 회로상의 블랙박스가 동작을 방해하도록 했다면, 이건 전형적인 업무방해이자 기물파손에 해당하는 행위라 할 수 있고, 궁극적으로 부정당경쟁을 의도한 거라 빼도박도 못하고 민형사상의 책임이 나오는 안건이라 할 수 있습니다. 여기에 상거래상 이런 행위를 한 업자를 신뢰하여 발주를 맏길 회사는 에지간히 궁박하거나, 아니면 그런 리스크를 안고서라도 돈을 절약할 의지가 있는 돈미새 사업자 정도밖에 없을거고 말입니다. 안걸렸다면 정비 수주한 회사가 말 그대로 공중분해될뻔한 안건인지라 형사쪽 결론이 어떻게 나냐에 따라서 배상규모도 상당히 빡셀 가능성도 높다 할거고 말입니다.
이 안건에서 눈여겨 봐둬야 할건, 자유경쟁 체제에서 어떤 부패나 부당행위를 아무리 빡빡하게 통제한다 하더라도, 민간사업자의 욕망을 컨트롤 한다는 건 매우 난감했었다는 점이라 할겁니다. 상대적으로 제도나 상관습이 좀 느슨한 감이 있는 동구권에서기는 하지만 지침, 표준, 정책이 어느정도 공통적용되는 유럽연합의 관내에서 이런 사건이 발생할 수 있다는 건 아무리 제도적 장치가 튼실하더라도 민간사업자가 정말 돌출적으로 미친짓을 하는 경우에 이걸 막아세우기가 굉장히 힘들었다 할겁니다. 서드파티를 조지려 드는건 공급업자와 그 협력업체들 사이에 흔히 나타나는 행태고, 사실 독일이나 프랑스, 이탈리아의 메이저 업체들 역시 저정도로 공격적이고 탈법적인 행태는 안하겠지만, 제도의 틀 안에서 뭐라도 끼워넣어서 억제 내지 배제를 하려는 행태는 늘 나타나고 있을 거라 봅니다. 잘 알려진 공격방법인 특허소송이라던가, 사업장 관리를 비집고 들어간다거나 등등.
외주화가 효율적일 수 있다는 이야기는 종종 하긴 하지만, 저렇게 서드파티 사업자들이 뛰어들어오기 시작하는 상황이 되고나면 가격적으로는 몰라도 무슨 일이 벌어질 지 모르는 그런 상황이 도래할 수도 있고, 또 이런 제도를 마련해준 이후에 제작사가 운영사의 직할정비를 저지하고 자신의 사업영역을 지키기 위해 전자제어 같은 부분에 블랙박스에 해당하는 정체불명의 장치를 끼워넣어 이런 의도된 트러블을 만들어버리는 경우도 가능성은 다분히 있을겁니다. 저 경우도, 각 지자체의 위탁을 받아 운영위탁을 돌리는 사업자들이 열차를 굴리는 상황일건데, 그런 자잘한 사업자들을 지배적인 인접영역, 시설부문이나 차량부문 같은데서 의도적으로 공격을 걸어오는 상황이 도래하면 방어력, 즉 대처할 수 있는 능력을 기대하기가 많이 어려울겁니다. 과거의 플래그쉽 사업자가 전부를 도맡아 할 때엔 개별 부문의 노무를 공급하는 조합에 의해 노동이슈가 이런 공격의 방향이 되어왔고 대응이 간단치 않았다면, 이젠 이런 노동이슈를 때려잡기 위해 분산시켜놓은 결과 개별 민간업자의 사익을 위해서 트러블을 의도적으로 노출시킬때 정작 이거에 대한 방어가 안되는 그런 판이 되어버린게 아닌가 생각이 듭니다. 이번 경우도 신뢰도가 있는 화이트해커에게, 위법성 여지가 있는 역엔지니어링까지 해서 불법행위를 밝혀낸 아주 특이한 케이스지만, 실제로는 더 복잡하고 제어불가능한 영역의 가능성은 얼마든지 있지 않은가... 라는 생각이 듭니다.
물론, 특정한 제도가 영구적으로 무오성을 가질 수는 없는거라 운영사의 직할 공장과 정비조직이 전 사이클을 통제해야 하는게 반드시 맞는건 아니긴 합니다. 또 유럽처럼 입찰을 통한 분산화와 외주화가 되돌리기 힘든 대원칙이 되어버린 상황에서는 열심히 보완적인 소규모 제도개선을 덧대기 해나가겠습니다마는... 저게 맞아? 싶은 생각이 드는건 사람으로서는 피할 수가 없는 그런 문제가 아닌가 싶어집니다.