facebook twitter rss 모바일웹

[의학신문·일간보사=이재원 기자] 현재 개인정보보호 중심의 경직된 법제가 의료AI 개발 및 연구를 구조적으로 제약하고 있다는 지적이 국회로부터 나왔다. 이에 따라 데이터 개방·융합·보호의 3축으로 의료데이터 법·제도를 정비할 것을 촉구했다.

김은정 국회 입법조사처 입법조사관은 25일 ‘이슈와 논점 2433호’를 통해 “의료AI는 방대한 데이터를 필요로 하지만 현행 개인정보보호법과 의료 관련 법령들의 충돌로 인해 혁신적 활용이 제한되고 있다”며 “가명정보 결합·2차 활용을 제도적으로 명확히 허용하는 방향으로 법제 개편이 시급하다”고 분석했다.

보고서는 한국 정부가 의료AI를 미래 신산업으로 육성하겠다고 공언해 왔음에도, 정작 데이터 규제체계는 과거의 ‘보호 중심 프레임’에 머물러 혁신을 제약하고 있다고 진단했다. 특히 의료데이터는 초민감정보로 분류돼 있어 활용에 대한 불확실성이 크고, 병원·기업·연구기관 모두 법적 리스크를 우려해 데이터 연계나 2차 활용을 적극적으로 시도하기 어려운 구조가 고착되고 있다는 것이다.

의료AI는 방사선 영상 판독, 병리 분석, 패턴 탐지, 정밀 진단, 치료 계획, 약물 설계, 중증 악화 예측 등 다양한 분야에서 실제 임상 성과를 내고 있다. 보고서는 “이 모든 성능은 결국 데이터의 양과 질에 의해 결정되는 구조”라며 “단일 의료기관의 폐쇄적 데이터만으로는 고도화된 AI 개발이 사실상 불가능하다”고 강조했다.

의료기관의 진료데이터는 ICD·SNOMED·LOINC 등 국제표준을 적용하고 있다 하더라도 병원마다 기록 방식, 코드 사용, EMR 구조가 다르다. 또한 한국은 병원 간 데이터를 연결하는 국가적 인프라가 부족해, 한 의료기관이 축적한 데이터는 AI 개발에 충분한 규모를 갖추기 어렵다. 보고서는 “영상·EMR·검사·생체신호·생활데이터·공공데이터 등 다양한 출처의 데이터를 연계·결합하는 것이 의료AI 혁신의 필수 조건”이라고 밝혔다.

그러나 한국은 '개인정보 보호법'에서 의료데이터를 민감정보로 분류해 높은 보호의무를 부과하면서도, 이를 활용하기 위한 가명처리·결합·반출 기준은 지나치게 제한적이고 모호해 혁신을 가로막고 있다는 것이 김 조사관의 판단이다.

김 조사관은 글로벌 의료현장에서 AI가 빠르게 일상화되고 있다고 설명했다. 미국 Beth Israel Deaconess Medical Center는 AI 기반 현미경을 활용해 혈액 샘플에서 박테리아 탐지 속도를 대폭 향상시키고 정확도 95%를 달성했다. 구글 DeepMind는 안구 스캔 이미지를 분석해 당뇨망막병증 등 안질환을 94% 이상 정확도로 진단하고 있다. 호주의 Charles Darwin University는 폐 초음파 영상을 분석하는 AI 모델을 개발해 폐렴·COVID-19 진단 정확도 96.57%를 달성했다.

정밀의료에서도 성과가 이어지고 있다. Insilico Medicine은 AI로 섬유증 신약 후보물질을 단 21일 만에 설계했으며, IBM Watson Health와 Stanford Health Care는 환자의 EMR을 기반으로 최적 치료 옵션을 제안해 기존 치료 대비 개선된 결과를 도출하기도 한다. 또한 고령자 돌봄에서는 Cera Care가 AI 기반 로봇을 적용해 약물 복용 알림, 낙상 예측, 건강 모니터링 등 가정 돌봄을 지원하고 있다.

보고서는 “AI가 병원의 핵심 업무인 진단·치료뿐 아니라 급성 악화 예측·중환자 관리·지역사회 돌봄까지 확장되는 상황에서, 데이터 접근성과 결합 능력은 국가 경쟁력의 핵심이 됐다”고 평가했다.

미국은 의료데이터 활용과 보호를 동시에 달성하는 대표적 모델로 꼽힌다. 근간이 되는 법은 'HIPAA'이며, 이 법은 식별자 제거 기준·비식별화 절차·기술적·관리적 보호조치를 명확히 규정한다. HIPAA 하부 규정인 Privacy Rule과 Security Rule은 ▲접근통제 ▲암호화 ▲침입탐지 ▲감사로그 ▲최소한의 정보처리 원칙 등을 요구한다.

그러나 미국은 보호만을 강조하지 않는다. 2016년 '21세기 치료법(21st Century Cures Act)' 이후, 의료기관·보험사·개인 건강 앱 간 데이터 상호운용성(Interoperability)을 강력히 장려하고 있다. 환자가 원하면 자신의 의료데이터가 여러 기관에 연결되어 통합 조회·연구 활용이 가능하도록 설계한 것이다.

트럼프 행정부는 한발 더 나아가 ‘국가 건강데이터 트래킹 시스템’을 도입해 환자 동의 시 여러 기관의 데이터를 한 시스템에서 결합할 수 있도록 추진했다. 이는 병원·공공기관·민간기업 간의 의료데이터 흐름을 활성화하기 위한 정책으로, 의료AI 개발 환경을 비약적으로 개선했다.

최근에는 2025년 'Biosecure Act' 제정으로 미국 내 공공보건·연구기관이 중국 특정 바이오기업과 직접·간접 거래를 못하도록 제한하면서, 글로벌 데이터·연구 공급망에도 큰 영향을 미치고 있다.

EU는 2024년 8월 세계 최초로 포괄적 인공지능 규제법인 'AI Act'를 시행했다. 의료AI는 대부분 ‘고위험’으로 분류돼 사전 인증·데이터 거버넌스·성능 재현성·투명성·설명 가능성 기준을 충족해야 한다.

더 나아가 EU는 '유럽건강데이터공간(EHDS)'을 출범시키며 의료데이터 활용의 국제 표준을 제시했다. EHDS는 ▲진료 목적의 1차 활용 ▲연구·정책·혁신 목적의 2차 활용을 구분하고, 각각 안전한 데이터 접근 체계를 마련하도록 회원국에 요구한다.

EU는 각국이 ‘전용관리기관(Health Data Access Body)’을 설치해 연구·정책 목적의 데이터 이용을 감독하며, 데이터 역외 이전은 원칙적으로 금지하거나 매우 제한적으로 허용한다. 또한 GDPR(유럽 일반개인정보보호법)과 데이터 거버넌스법, NIS 지침 등을 결합해 데이터 보호와 활용의 균형을 제도화했다.

보고서는 “EU는 오히려 더 강력한 보호체계를 갖추고 있지만, 연구·혁신 목적의 2차 활용은 명확히 허용하는 구조”라며 “한국과는 달리 ‘보호-활용의 균형 모델’을 법률로 체계화했다”고 분석했다.

한국은 'AI 기본법(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법)', '의료기기법', 2025년 시행되는 '디지털의료제품법' 등 여러 법에서 의료AI를 다루고 있으나, 정합성이 떨어져 실무에서 혼란이 크다는 지적이 나온다.

특히 ▲가명정보 결합 절차가 과도하게 제한적 ▲의료데이터 2차 활용 근거가 모호 ▲병원 외부 연구기관·기업과의 데이터 공유 근거 미비 ▲AI 기본법과 의료기기 규제 사이의 적용 범위 충돌 ▲보건복지부·과기정통부·식약처·개보위 간 역할 분담 불명확 등이 문제로 지적된다.

보고서는 “한국은 보호 규정만 지나치게 구체적이고, 활용 규정은 지나치게 추상적”이라며 “결국 병원·기업 모두 법적 리스크를 피하기 위해 연구·개발을 포기하거나 축소하는 상황이 반복되고 있다”고 지적했다.

김은정 조사관은 법제 재편 3대 방향을 제시했다. 먼저 의료데이터의 안전한 개방과 접근성을 강화해야 한다는 것이다. 구체적으로 연구·AI 개발 목적의 가명정보 활용 근거를 명확화 하고, 공공·민간 데이터셋 개방을 확대하며, 국가 단위 데이터 연계·반출 절차를 표준화해야 한다는 것이다.

또한 데이터 통합·융합 체계의 제도화도 강조했다. 구체적으로 병원·공공기관·건강보험·생활데이터 간 결합을 허용하고, 국가 의료데이터 플랫폼을 구축하고, 영상·EMR·비정형 데이터의 표준화를 촉진해야 한다는 것이다.

아울러 개인정보 보호 체계의 내실화도 제언했다. 의료데이터 전용 보호 기준을 마련하고, AI 모델의 재식별 위험 평가를 의무화할 것을 촉구했다. 데이터 결합 시 감독기관의 역할도 강화해야 한다고 조언했다.

보고서는 “한국은 의료인력 부족, 중증환자 집중, 만성질환 증가 등 의료시스템 부담이 커지는 상황에서 AI의 역할이 더욱 중요해질 것”이라며 “법제 정비가 늦어질수록 글로벌 AI 기업과의 격차가 심화된다”고 경고했다.