15년 이상 소프트웨어와 시스템 아키텍처를 다루면서 가장 소름 돋는 순간은, 치명적인 결함(Known Issue)을 안고 프로덕션 배포를 강행할 때입니다. 일정이 촉박하고 매몰 비용이 클수록, 조직은 문제를 해결하기보다 “이 정도면 엣지 케이스에서만 발생할 거야”라며 스스로를 기만하기 시작합니다.

최근 Hacker News를 뜨겁게 달군 Maciej Cegłowski의 글 “Artemis II is not safe to fly”를 읽으며, 저는 과거 챌린저호와 컬럼비아호 참사를 불렀던 조직적 확증 편향이 NASA에서 다시 반복되고 있다는 강한 기시감을 느꼈습니다. 이번 포스트에서는 아르테미스 II 미션의 오리온(Orion) 캡슐이 안고 있는 열차폐막(Heat Shield) 결함의 기술적 디테일과, 이를 대하는 엔지니어링 조직의 위험한 태도에 대해 Deep-dive 해보겠습니다.

예상치 못한 Spalling: 설계와 현실의 괴리

우주선이 지구로 재진입할 때 발생하는 엄청난 열을 견디기 위해 열차폐막은 필수적입니다. 오리온 캡슐은 Avcoat라는 특수 소재를 사용합니다. 본래 이 소재는 열을 받으면 표면이 고르게 타들어가며 벗겨지는 Ablation (절제) 방식으로 열을 방출하도록 설계되었습니다.

문제는 2022년 아르테미스 I 무인 비행 테스트에서 발생했습니다. Avcoat가 부드럽게 타들어간 것이 아니라, 덩어리째 뜯겨 나가는 Spalling 현상이 발생한 것입니다. NASA의 초기 발표는 “성공적”이었지만, 2024년 5월 감사관실(OIG) 보고서를 통해 충격적인 사진과 함께 심각한 결함이 폭로되었습니다.

OIG 보고서는 승무원의 목숨을 위협할 수 있는 세 가지 치명적 위험을 지적했습니다.

• Spalling (박리 현상): 열차폐막이 덩어리째 떨어져 나가면 빈 공간이 생기고, 이는 극초음속 기류의 패턴을 바꿔 국소적인 핫스팟과 Burnthrough (열 관통)를 유발합니다.
• Fragment Impact (파편 충돌): 떨어져 나간 파편이 기류를 타고 캡슐 상단을 타격해 낙하산 시스템을 훼손할 수 있습니다.
• Bolt Erosion (볼트 침식): 열차폐막 내부에 박힌 4개의 대형 분리 볼트 중 3개가 녹아내렸습니다. 이는 뜨거운 가스가 캡슐 내부로 유입되어 기체를 공중 분해시킬 수 있는 치명적 결함입니다.

Toy Model과 Workaround의 위험성

NASA가 밝힌 Root Cause는 열차폐막의 낮은 투과성(Permeability)이었습니다. 갇혀 있던 가스가 팽창하면서 쉴드 조각을 밀어냈다는 것입니다. 그런데 황당하게도, 이미 조립이 끝난 아르테미스 II의 열차폐막은 초음파 테스트를 용이하게 하기 위해 투과성을 오히려 더 낮춰놓은 상태였습니다.

여기서 엔지니어로서 가장 경악스러운 부분은 NASA의 대응입니다. 캡슐을 해체하고 쉴드를 재설계하는 데 수년의 시간과 수십억 달러가 들기 때문에, 그들은 Re-entry trajectory (재진입 궤적)를 수정하여 열 부하를 줄이겠다는 Workaround를 제시했습니다.

전직 우주왕복선 엔지니어이자 우주비행사인 Charles Camarda는 이를 두고 “물리학에 기반하지 않은 장난감 모델(Toy models)로 안전하다는 결론을 끼워 맞추고 있다”고 강도 높게 비판했습니다. 저 역시 이 의견에 전적으로 동의합니다. 프로덕션 환경의 복잡한 변수(달 귀환 속도의 엄청난 열 플럭스와 전단 응력)를 제대로 재현하지 못하는 시뮬레이션 결과를 바탕으로, “궤적을 좀 바꾸면 괜찮을 것”이라고 결론 내리는 것은 엔지니어링이 아니라 도박입니다.

Hacker News의 시선: Normalization of Deviance

Hacker News 스레드에서도 이 문제는 뜨거운 감자였습니다. 많은 시니어 엔지니어들이 챌린저호의 O-링 사태를 언급하며, NASA의 현재 태도가 전형적인 Normalization of deviance (정상화의 오류)라고 지적했습니다.

물론 일부 유저는 “우주비행사들도 동의했고, NASA 엔지니어들이 철저히 위험을 계산했을 것”이라고 옹호했습니다. 하지만 한 유저의 반박이 제 뇌리에 깊게 박혔습니다. “러시안룰렛을 한 번 돌렸을 때 죽지 않을 확률이 높다고 해서, 그것이 안전하다는 뜻은 아니다.”

우리는 흔히 99%의 성공 확률을 안전하다고 착각하지만, 실패 시의 임팩트가 ‘시스템 붕괴 및 인명 피해’라면 그 1%는 수용 불가능한 리스크입니다.

결론: Sunk Cost에 목숨을 걸어선 안 된다

솔직히 말해, 아르테미스 II가 무사히 귀환할 확률은 꽤 높을지도 모릅니다. 하지만 그것이 올바른 엔지니어링 결정을 내렸다는 증거가 될 수는 없습니다.

NASA는 이미 아르테미스 III부터 새로운 열차폐막 디자인을 적용하기로 했습니다. 이는 아르테미스 II의 현재 쉴드에 대한 내부적인 불신을 방증합니다. 그렇다면 답은 명확합니다. 아르테미스 II는 무인(Unmanned)으로 비행해야 합니다. 승무원을 태울 이유가 전혀 없습니다.

우리 엔지니어들은 종종 비즈니스 일정과 매몰 비용 앞에서 타협을 강요받습니다. 하지만 핵심 컴포넌트의 결함을 어설픈 소프트웨어적 워크어라운드로 덮으려 할 때, 그 기술 부채는 결국 가장 뼈아픈 방식으로 청구된다는 사실을 잊지 말아야 할 것입니다.

References

• Original Article: https://idlewords.com/2026/03/artemis_ii_is_not_safe_to_fly.htm
• Hacker News Thread: https://news.ycombinator.com/item?id=47582043