1) 우선순위 원칙: “사람을 통제하지 말고 시스템을 통제한다”
오사용(Use Error) 위험통제에서 가장 중요한 원칙은, 사용자를 “통제 대상”으로 두기보다 시스템이 오사용을 유도하거나 허용하는 경로를 차단하는 것입니다. 즉 “주의하세요”로 끝나는 통제는 최후수단이고, 가능한 한 설계(Design)로 위해 경로를 끊어야 합니다. 이 우선순위는 단순한 철학이 아니라, 반복되는 임상 환경에서 인간의 주의력과 기억에 기대는 통제가 지속적으로 실패한다는 현실적 근거에 기반합니다. 따라서 의사결정은 “이 오사용을 교육으로 막을 수 있는가”가 아니라, “이 오사용이 발생해도 위해로 확대되지 않게 시스템이 막을 수 있는가”로 시작해야 합니다.
실무적으로는 오사용 사건 흐름을 ‘인지–해석–행동’ 고리로 분해한 다음, 각 고리에서 통제의 레버리지를 평가합니다. 인지 실패(못 봄)라면 정보제공 문구를 늘리는 것이 아니라, 표시 우선순위·가시성·경고 타이밍을 바꾸는 설계 통제가 우선입니다. 해석 실패(오해)라면 문구 수정만으로 해결되는 경우가 드물고, 용어 정합, 단위·범위의 시각화, 맥락 기반 안내(현재 모드/환자/설정과 연결된 설명)처럼 사용자가 올바른 정신모델을 만들도록 하는 설계 통제가 더 효과적입니다. 행동 실패(우회/건너뜀)는 “확인하세요”로 해결되지 않고, 위험 행동을 어렵게 만들거나(마찰 부여), 안전 행동을 기본값으로 만들거나(기본값 정책), 위험 행동 자체를 불가능하게 만드는(하드 제약) 설계 통제가 필요합니다. 결국 우선순위는 내재 안전(불가능하게 만들기) → 강제 기능(반드시 거치게 만들기) → 유도(기본값/가이드) → 경고/정보제공 순으로 내려갑니다.
여기서 설계 통제와 정보제공 통제의 경계는 “정보의 존재”가 아니라 행동의 강제성입니다. 예를 들어 “경고 팝업”은 정보제공처럼 보이지만, 위험 작업을 진행하려면 확인을 반드시 거쳐야 한다면 강제 기능에 가깝습니다. 반대로 “설명서에 적어둠”은 실제 현장에서 접근이 어렵고 실행을 강제하지 않으므로 정보제공의 약한 형태입니다. 이 경계를 분명히 해두면 통제의 효과를 과대평가하지 않게 됩니다. 1단계의 결론은 “사람의 주의력에 기대는 통제는 마지막에 두고, 설계로 위해 경로를 먼저 끊는다”입니다.
2) 경계와 판단 기준: 언제 정보제공이 ‘충분’하고, 언제 설계가 ‘필수’인가
실무에서 가장 어려운 지점은 “설계 통제까지 해야 하는가, 정보제공으로 충분한가”를 결정하는 것입니다. 이를 위해서는 오사용이 발생했을 때 위해로 확대되는 경로를 기준으로 세 가지 질문을 던지면 판단이 안정됩니다.
첫째, 위해의 심각도가 높은가? 심각도가 높다면 정보제공만으로는 방어선이 약합니다. 특히 오사용이 생명·중대한 상해·치료 지연으로 이어질 수 있는 경우, 통제는 설계적(하드 제약/강제 기능)이어야 합니다. 예컨대 치료 파라미터를 잘못 입력하면 즉시 위해가 발생하는 기기에서 “입력값을 확인하세요”는 통제가 아니라 안내에 가깝습니다. 이 경우는 범위 제한, 단위 자동 변환/표시, 비정상 값 차단, 이중 확인(독립 확인) 같은 설계 통제가 사실상 필수입니다.
둘째, 오사용의 발생 가능성이 ‘현장 조건’에서 높아지는가? 야간 근무, PPE, 소음, 응급 상황, 높은 작업량, 다중 알람, 네트워크 지연처럼 촉진 조건이 현실적으로 빈번하면, 정보제공은 반복적으로 무력화됩니다. 촉진 조건이 흔한 환경이라면 통제는 설계로 올라가야 합니다. 반대로 매우 드문 비정상 상황에서만 발생하고, 사용자가 충분한 시간과 주의를 가질 수 있으며, 시스템이 위해로 확대되기 전에 충분히 탐지·차단할 수 있다면 제한적 정보제공이 합리적일 수 있습니다. 핵심은 “가능성 낮음”을 감으로 쓰지 말고, 업무흐름과 환경 조건을 근거로 설명하는 것입니다.
셋째, 탐지와 회복이 가능한가? 오사용이 발생해도 시스템이 이를 탐지하고 안전 상태로 전이하거나, 사용자가 즉시 되돌릴 수 있다면 정보제공의 비중이 커질 수 있습니다. 그러나 탐지가 어렵거나, 탐지되어도 사용자에게 전달되지 않거나, 전달되어도 해석이 어려워 조치가 지연된다면 정보제공은 취약합니다. 예를 들어 ‘잘못된 환자 선택’은 발생 자체보다 탐지가 어렵고, 탐지 실패 시 결과가 다른 환자에게 적용될 수 있어 위해가 커집니다. 이런 경우는 설계적으로 환자 식별을 강화(바코드/이중 확인/맥락 경고)하고, 작업 전후 확인을 강제하는 통제가 필요합니다.
이 세 질문을 통과한 뒤에도 경계가 남는다면, 추가로 통제의 비용 대비 위험 감소 효과를 따집니다. 설계 통제가 과도한 마찰을 만들어 사용자가 우회 경로를 찾게 되면 오히려 위험이 증가할 수 있습니다. 따라서 “강제”는 남발할 수 없고, 위험이 높은 지점에만 정확히 배치해야 합니다. 결과적으로 정보제공이 ‘충분’한 조건은 (1) 위해 심각도가 상대적으로 낮고, (2) 촉진 조건이 드물며, (3) 탐지·회복이 용이하고, (4) 사용자가 실제로 그 정보를 접할 가능성이 높을 때입니다. 이 조건 중 하나라도 흔들리면 설계 통제로 올라가는 것이 합리적입니다.
3) 실무 적용: 통제 선택을 문서화하고 검증으로 정당화하기
우선순위를 결정했다면, 그 결정이 RMF와 사용성 문서에서 “설명 가능한 선택”으로 남아야 합니다. 실무에서는 통제를 다음 4가지 유형으로 정리하고, 오사용 사건 고리(인지–해석–행동) 중 어디를 끊는지 명시하면 정합성이 좋아집니다.
- 하드 제약(불가능하게 만들기): 위험 입력값 차단, 단위/범위 제한, 잘못된 순서 진행 불가, 모드/환자 불일치 시 실행 차단
- 강제 기능(반드시 거치게 만들기): 위험 단계 진입 전 확인, 이중 확인, 설정 변경 승인, 위험 알람 확인 없이는 진행 불가
- 유도/가이드(기본값과 구조로 안전 행동 유도): 안전 기본값, 맥락 안내, 단계형 워크플로우, 핵심 정보의 지속 표시
- 정보제공(잔여위험 전달): IFU/라벨 경고, 교육 자료, 현장 공지, 화면 내 도움말
이 분류를 쓰면 “경고창”이 정보제공인지 강제 기능인지 혼동되는 문제도 해결됩니다. 예를 들어 경고창이 떠도 ‘무시하고 진행’이 가능하면 정보제공에 가깝고, 진행 자체가 차단되거나 추가 확인(예: 재입력, 체크박스)이 필요하면 강제 기능에 가깝습니다. 즉 UI 요소의 형태보다 결과적으로 위험 행동을 막는지가 분류 기준입니다.
검증은 통제 유형에 맞게 설계해야 합니다. 하드 제약은 경계값·오류 입력·유사 케이스에서 차단이 일관되게 작동하는지 기능/통합 시험으로 입증합니다. 강제 기능은 사용자가 우회할 수 있는 경로가 없는지(백 버튼, 세션 만료, 네트워크 지연, 다중 창)까지 포함해 상태 전이를 시험해야 합니다. 유도/가이드는 제한적 사용성 검증이나 실제 과업 기반 평가로 “오사용 빈도가 감소했는지”를 근거로 남기는 편이 설득력이 높습니다. 정보제공은 문구의 구체성(상황–원인–행동), 접근 위치, 시점 적절성, 용어 일관성(라벨/화면/IFU)을 점검하고, 잔여위험이 제대로 전달되는지 확인해야 합니다.
마지막으로 변경관리 연결이 필수입니다. UI 문구, 버튼 위치, 기본값, 워크플로우 단계, 권한 정책 변경은 오사용 통제를 무력화할 수 있으므로, 통제마다 구현 위치(요구사항/화면 ID/설정 정책), 검증 케이스 ID, 관련 IFU 항목을 한 줄로 묶어두면 변경 영향평가가 자동으로 작동합니다. 이렇게 하면 “정보제공이면 쉬우니 정보제공으로 가자” 같은 단기 의사결정이 장기 위험을 키우는 것을 막을 수 있습니다. 결론적으로 오사용 위험통제의 우선순위 결정법은 ‘설계 통제를 기본값으로 두고, 정보제공은 잔여위험에 한정’하며, 그 선택을 검증과 추적성으로 정당화하는 데 있습니다.