posted by 알짜 정보 岳岩 2019. 11. 15. 07:59

의료 전문 비영리 단체 어센션과의 파트너십 통해 의료 정보 다량 확보
“의료 서비스 향상 위한 합법적 연구 행위” vs. “프라이버시 보호, 갈 길 멀어”


[보안뉴스 문가용 기자] 구글이 인공지능을 활용해 수천만 명의 의료 기록 및 관련 세부 정보를 상세하게 분석했다는 보도가 나와 비판을 받고 있다. 이에 미국 의료정보보호법인 HIPAA 전문가들이 구글의 행위에 위반 사항이 있었는지를 조사까지 시작했다.

[이미지 = iclickart]


이런 일이 있기 전 구글은 먼저 미국 21개주에서 운영되고 있는 비영리 건강 시스템인 어센션(Ascension)과 파트너십을 맺었다. 구글이 클라우드 및 G스위트 서비스를 제공해 어센션의 생산성을 높이는 것이 파트너십의 기본 골자였다. 여기에 어센션의 의료진들이 보다 빠르고 쉽게 환자 정보에 접근할 수 있도록 해주는 도구를 실험적으로 만들어 운영해본다는 내용도 추가되어 있는데, 이 때문에 파트너십 채결 당시에도 적잖은 비판을 받았다.

이번에 해외 언론들이 공개한 내용에 따르면 당시 어센션과의 파트너십을 통해 구글은 어센션이 운영하는 병원과 진료소 등 각종 시설 2600곳으로부터 환자들의 의료 정보를 모조리 공급받고 있었다. 이 데이터를 인공지능에 주입함으로써 보다 나은 치료법이나 의사 소견이 나올 수 있기를 기대한 것이다.

내부적으로 이 프로젝트에는 나이팅게일이라는 이름이 붙었다(Project Nightingale). 어센션의 의사와 간호사들은 환자를 진찰하고 나서 데이터를 구글이 제공한 클라우드에 입력했다고 한다. 문제는 이런 모든 과정 중에 환자의 동의를 구한 적이 없었다는 것이다. “심지어 의사들도 정확한 사실을 모르고 있었습니다. 그러는 동안 구글 직원 약 150명은 누군가의 상세 의료 정보에 마음껏 접근하고 있었고요.”

이러한 보도가 있은 후 구글은 자사 블로그를 통해 어센션과의 파트너십이 있는 건 분명하다고 밝혔다. 구글의 산업 제품 및 솔루션 회장인 타릭 쇼캣(Tariq Shaukat)이 해당 글을 작성했는데, 상세한 내용을 충분히 밝히지는 않고 있다. 다만 “오로지 어센션의 의료진들이 환자들을 돌보고 치료하는 일이 수월해지고 효과적이 되도록 노력하는 차원에서 그러한 프로젝트를 시작한 것”이라고 주장했다.

또한 “HIPAA는 분명히 의료 서비스 제공자가 데이터 주체자들의 허락이나 동의 없이 사업상 파트너들에게 공유할 수 있다고 명시되어 있다”고 강조하기도 했다. 다만 이 법에 따르면 의료 기관이나 파트너사가 의료 서비스 증진을 목적으로만 데이터를 활용할 수 있도록 되어 있는데 구글 역시 그러한 점에서 벗어나지 않았다고 주장했다.

구글은 나이팅게일 프로젝트를 위한 데이터 보안 계획에 대해 다음과 같이 공개했다. “데이터는 논리적으로 어센션에만 독립적으로 저장되어 있습니다. 가상의 비밀 공간에, 암호화 되어 있기도 합니다. 이런 환자들의 데이터는 어센션의 의료 서비스를 증진시키고자 하는 목적 외에 그 어떠한 목적으로도 활용되지 않고 있습니다. 특히 광고를 목적으로 한 사업 행위에는 절대로 이 데이터가 사용되지 않습니다.”

그러면서 구글은 데이터에 대한 접근 제어 장치는 물론 데이터 격리, 철저한 로깅, 감사와 같은 절차가 꼼꼼하게 마련되어 있다고 주장하기도 했다.

하지만 미국 보건사회복지성(Department of Health and Human Services)의 시민권사무소를 담당하고 있는 로저 세버리노(Roger Severino)는 월스트리트저널과의 인터뷰를 통해 “구글이 시민들의 개인정보 및 민감 정보를 허락 없이 대량으로 수집한 것은 분명하고, 더 많은 사실을 알아내기 위해 조사를 시작했다”고 밝혔다. 특히 HIPAA를 위반한 사안이 없는지 확인할 계획이라고 한다.

보안 업체 멀웨어바이츠(Malwarebytes)의 디렉터인 아담 쿠자와(Adam Kujawa)는 “살펴볼 것도 없이 분명한 HIPAA 위반”이라고 주장했다. 그러면서 “그 동안 내부자 위협과 관련된 사건이 하나도 발생하지 않았다고 어떻게 장담하겠는가”라고 의문을 제기하기도 했다. “사이버 범죄자들 사이에서 의료 건강 정보는 꽤나 높은 가격에 거래됩니다. 정말 단 한 명도 이 쉬운 돈벌이에 눈길을 주지 않았다고 장담할 수 있나요? 그 부분도 철저히 조사해야 합니다.”

인증 전문 업체인 액셉토(Acceptto)의 수석 보안 아키텍트인 포스토 올리베이라(Fausto Oliveira)는 “구글과 같은 기업들이 아무리 언론에 나와 ‘데이터 보호에 힘쓰고 있고 프라이버시 강화에 앞장서고 있다’고 말한들, 실제로 일반 개인정보 주체들이 자신의 프라이버시를 지키기 위해 할 수 있는 일이 그리 많지 않다는 사실에는 변함이 없다”고 지적했다.

“소비자들의 관점에서 보자면, 자신이 아무리 프라이버시와 개인정보를 지킨다고 하더라도, 구글과 같은 기술 기업들이 마음먹고 데이터를 가져가고 사용하는 걸 막을 방법이 없습니다. 지금도 구글은 ‘의료적 행위만을 위해 데이터를 활용했다’고 하는데, 솔직히 그걸 투명하게 확인할 방법도 없습니다. 구글의 의도가 그랬다 하더라도, 그 과정 가운데 실수나 내부자의 악성 행위가 없었다고 100% 확신할 수도 없는 것이고요.”

결국 이번 사태에서 뼈아프게 드러난 건, 개인의 온라인 인권과 프라이버시가 아직은 말로만 강화되고 있다는 것이다. 즉 정보의 주체가 실질적으로 개인정보를 보호하기 위해 할 수 있는 일이나 사용할 수 있는 장치가 전무하다시피 한 게 작금의 현실이라고 쿠자와는 주장한다. “개개인이 자신의 데이터를 제어할 수 있게 해주는 정책과 장치가 필요합니다. 개인정보를 통해 수익을 올리고 사업을 하는 자들은 얼마든지 정보의 수집과 공유, 활용이 가능합니다. 우리들의 옵션은 ‘제로’이고요.”

그러면서 쿠자와는 “현대의 데이터 프라이버시 시스템은 심각하게 훼손되어 있다”고 말했다. “기업들이 법망을 요리조리 피해가면서 여전히 데이터를 몰래 모으고 활용할 수 있는 건, 그들을 실제로 멈추게 할 제도들이 마련되어 있지 않아서입니다. 실제적인 브레이크가 없다는 겁니다. 기업들에 브레이크를 달아줘야 할 때입니다. 그들은 너무나 아무렇지 않게 선을 넘고 있습니다.”

올리베이라는 “해킹의 위험 역시 심각하게 고려해야 한다”고 지적했다. “구글이 해킹을 잘 당하는 기업이 아닌 건 맞지만, 그렇다고 해서 해킹될 가능성이 앞으로도 0%로 유지될 거라고 말할 수 없습니다. 단 한 명에게라도 어센션에서 수집된 의료 데이터가 침해된다면 전 세계 사이버 범죄자들이 이 DB를 노리기 위해 달려들 겁니다.”

3줄 요약
1. 구글, 어센션이라는 의료 조직과 파트너십 맺고 의료 기록 수집 및 분석.
2. 의료 목적을 위해서라고 하지만 환자 본인의 동의를 구하는 단계 거치지 않음.
3. 구글은 “합법적 행위”, 업계에서는 “프라이버시 보호 시스템 손 봐야” /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요