펜타시큐리티 > Insight > AI 건강 앱과 개인정보 보호의 허점 — HIPAA가 놓치는 것들

AI 건강 앱과 개인정보 보호의 허점 — HIPAA가 놓치는 것들

2026-03-27 Insight
AI 건강 앱과 개인정보 보호의 허점

스마트폰 하나로 언제든지 건강 상담을 받을 수 있는 시대가 왔습니다. OpenAI의 ChatGPT Health, Anthropic의 Claude for Healthcare, Google의 AI 헬스케어 서비스까지, 빅테크 기업들이 앞다퉈 의료 분야에 뛰어들고 있습니다. AI 건강 앱

OpenAI에 따르면 이미 수억 명의 사람들이 ChatGPT를 건강 및 웰니스 질문에 활용하고 있으며, 여러 연구들은 대형 언어 모델이 의료 진단에서 놀라운 능력을 발휘한다는 사실을 보여주고 있습니다.  그러나 AI 건강 앱의 사용자가 많아질수록, 공유된 민감한 의료 정보의 보안에 대한 우려의 목소리도 함께 커지고 있습니다.

AI 건강 앱

AI 건강 앱과 개인정보 보호의 허점

 

HIPAA의 사각지대: AI

HIPAA(Health Insurance Portability and Accountability Act)는 환자의 개인 건강 정보를 암호화하고, 유출 시 피해자와 보건복지부에 즉시 통보하도록 강제하는 법입니다. 1996년 미국에서 제정되어 환자의 의료 기록 프라이버시 보호 및 건강 정보 보안을 목적으로 운영되고 있습니다.

이러한 HIPAA는 의사, 간호사, 병원 등 의료 서비스를 제공하는 기관과 보험사 등 관련 데이터를 처리하는 조직에게 적용됩니다. 문제는 OpenAI, Anthropic, Google과 같은 테크 기업들이 HIPAA의 적용 대상에 해당하지 않을 가능성이 높다는 점입니다. Center for Democracy and Technology의 Andrew Crawford는 HIPAA의 개인정보 보호를 받지 않는 수많은 기업들이 사람들의 건강 데이터를 수집, 공유, 활용하게 될 것이라고 경고했습니다

각 기업의 홍보 문구도 살펴볼 필요가 있습니다. Anthropic의 웹사이트는 Claude for Healthcare를 “HIPAA 준비 인프라 기반(built on HIPAA-ready infrastructure)”으로 구축되었다고 설명하며, OpenAI는 헬스케어 엔터프라이즈 제품이 HIPAA 준수를 “지원”한다(support HIPAA compliance)고 표현합니다.

이에 대해 전자개인정보센터(EPIC)의 Sara Geoghegan은 이러한 AI 기업은 실질적으로 HIPAA의 규제 대상이 아니기에 HIPAA를 지킬 의무가 없을 수도 있다고 지적했습니다. 

 

AI 건강 앱과 개인정보 보호의 허점

 

AI 건강 앱이 가진 구조적 보안 리스크

법적 보호의 공백 외에도, AI 건강 앱은 기술적으로 여러 보안 취약점을 내포하고 있습니다.

이러한 앱들은 일반적인 생성형 AI와 동일하게 데이터 유출, 환각(hallucination), 프롬프트 인젝션 등의 위험에 노출되어 있습니다. 의료 맥락에서 이 중 하나라도 발생한다면, 단순한 정보 유출을 넘어 실질적인 건강 피해로 이어질 수 있습니다.

의료 산업의 데이터 유출 문제는 AI 붐 이전부터 이미 심각했습니다. 의료기관들은 해킹, 피싱, 랜섬웨어의 단골 표적이었으며, HIPAA 적용 기관들조차 구형 소프트웨어 의존, 수많은 외부 공급업체와의 협업, 높은 사이버보안 비용 등의 이유로 침해를 막지 못하는 경우가 많습니다. 

AI 도구들은 개발자들조차 작동 방식을 완전히 이해하거나 설명하지 못하는 경우가 있습니다. 이러한 불확실성은 건강 데이터처럼 민감한 정보를 다룰 때 심각한 보안 및 프라이버시 문제로 이어질 수 있습니다. 

 

AI 건강 앱과 개인정보 보호의 허점

 

AI 건강 앱의 사용자가 지금 당장 할 수 있는 것

AI 건강 앱의 법적 규제가 정비될 때까지, 개인 차원에서 스스로를 보호하는 몇 가지 방법을 숙지해 두는 것이 중요합니다.

1. 서비스 약관과 개인정보 처리방침을 반드시 확인하세요.
“HIPAA 준수”라는 문구가 있더라도 실제 법적 의무와는 다를 수 있습니다. 데이터를 제3자에게 판매하거나 공유하는지 여부를 꼼꼼히 확인해야 합니다.

2. 민감한 정보 공유를 최소화하세요.
이름, 주민등록번호, 상세한 병력 등 중요한 개인정보는 가급적 입력하지 않는 것이 좋습니다.

3. AI의 진단을 맹신하지 마세요.
AI의 답변은 참고 수준으로만 활용하고, 중요한 결정은 반드시 의료진과 상의해야 합니다.

4. 데이터 삭제 기능을 적극 활용하세요.
대부분의 서비스는 대화 기록 삭제 기능을 제공합니다. 정기적으로 데이터를 삭제하는 습관을 들이는 것이 좋습니다.

 

신뢰할 수 있는 보안 파트너가 필요한 시대

AI가 헬스케어 영역으로 빠르게 확장되는 지금, 법적 규제의 공백을 메워줄 실질적인 보안 기술의 역할이 그 어느 때보다 중요해졌습니다. AI가 제공하는 편리함을 포기할 수 없다면, 적어도 데이터를 안전하게 지켜줄 검증된 보안 솔루션이 뒷받침되어야 합니다.

펜타시큐리티는 1997년부터 웹 애플리케이션 보안과 데이터 암호화 분야에서 전문성을 쌓아온 신뢰받는 보안 파트너입니다. 기술이 규제를 앞서가는 현실에서, 결국 가장 중요한 것은 믿을 수 있는 보안 인프라입니다. AI를 현명하게 활용하면서도 데이터를 철저히 보호하는 것, 그것이 바로 이 시대가 우리에게 던지는 핵심 과제입니다.

 

 

Tags: