—————————————————————

2007년 당시 정보통신부와 한국정보보호진흥원(KISA, 現 한국인터넷진흥원)이 만든 ‘바이오 정보 보호 가이드라인’은 바이오 정보를 “지문·얼굴·홍채·정맥·음성·서명 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말하며, 가공되지 않은 원본정보와 그로부터 추출되어 생성된 특징정보를 포함한다”고 규정하고 있다(개인정보의 안전성 확보조치 기준 제2조 제14호).
바이오 정보는 모든 사람에게 존재한다는 ‘보편성’과 함께, 사람마다 다르다는 ‘고유성’(혹은 유일성)을 가지고 있으며, 대체로 그 정보가 평생 변하지 않는다는 ‘불변성’을 가지고 있기 때문에 개인 식별(identification)이나 인증(authentification) 목적으로 공공 및 민간의 다양한 분야에서 활용되고 있다.
한국은 이미 1970년부터 열손가락 지문 날인을 시작했고, 이렇게 수집된 지문은 경찰의 수사목적을 위해 활용되어 오고 있다. 검찰과 경찰은 90년대 중반부터 유전자은행 설립을 위해 노력해 왔으며, 결국 2004년 ‘장기 미아’를 찾는다는 명분하에 ｢실종아동등의 보호 및 지원에 관한 법률｣이 통과되어 유전자 데이터베이스가 도입되었다. 또한, 2009년에는 ｢디엔에이신원확인정보의 이용 및 보호에 관한 법률｣ 통과를 계기로 범죄자를 대상으로 한 유전자 데이터베이스 구축이 시작되었다. 한편, 범죄예방 및 시설안전 등을 목적으로 공공 및 민간 영역에서 CCTV의 도입이 급증하고 있으며, 최근에는 이를 ‘통합관제센터’를 통해 통합 관리하는 방향으로 나아가고 있다.
민간에서도 인터넷의 발전으로 인한 비대면 거래의 확대, 2000년을 전후로 한 모바일 기기의 확대, 이와 결부된 핀테크의 성장, 사물인터넷(IoT)이나 웨어러블 기기의 도입, 헬스케어와 원격 의료 도입 등과 맞물려 바이오 정보의 활용도가 높아지고 있다. 지문을 이용한 개인 스마트폰 보안에서부터, 지문·정맥·홍채 정보 등을 활용한 금융거래나 결제 서비스, 스마트 기기를 활용한 자가 건강 측정 및 원격 의료 서비스 등이 등장하고 있는 것이다. 특히, 한국적 상황에서는 주민등록번호의 남용으로 인한 개인정보 유출의 문제, 그리고 편의성과 접근성에서 문제를 노출한 공인인증서의 문제가 불거지면서, 바이오 인식(Biometrics)을 통한 새로운 인증 방식이 대안으로 제시되고 있는 상황이다. 2014년 전 세계 모바일 바이오 인증 시장의 매출액 규모는 16억 2천만 달러 규모이며, 같은 해 국내의 바이오 인식 제품의 매출액 규모는 1,867억 원 규모로 추산되고 있다.
개인 식별 수단으로 바이오 정보를 사용하는 것과 별개로, 최근 ‘맞춤형 건강관리’ 혹은 ‘자가 건강관리’에 대한 관심이 증가함에 따라 바이오 정보를 활용한 건강관리 서비스 시장이 증가하고 있다. 바이오 정보를 활용한 건강관리 서비스 영역은 아직까지 널리 상용화되고 있지는 않지만, 그 확장성과 상품성에 대해서는 장밋빛 전망이 제출되고 있다. 이는 기본적으로 ‘건강한 사람을 더욱 건강하게’ 만들기 위한 목적으로 현재도 이루어지고 있는 각종 상담, 교육, 운동처방, 식단관리, 생활습관 교정 등의 서비스에 정보통신기술을 접목하여, 보다 대규모로 보다 표준화된 방식으로 이를 상품화하려는 전략이다. 일상생활 중에 바이오 정보를 모니터링하여, 대규모로 집적된 바이오 정보에 근거하여 상담, 교육, 운동, 생활습관 교정 등을 제공하는 것이다.
한편, 유전자 등의 바이오 정보는 그 분석 기술이 발달하고 비용이 낮아짐에 따라, 그것을 분석하고 해석하여 소비자에게 제공하는 다양한 상품 서비스 영역이 개발되고 상용화되고 있다. 이는 의료기관에서 이루어지는 의료 행위와 별개로 바이오 정보를 매개로 실험실과 소비자 사이의 직접 거래가 이루어지는 영역이다.
이와 같이 바이오 정보의 활용도가 높아지면서 그 위험성에 대한 우려도 커지고 있다. 바이오 정보가 본인 식별이나 인증을 위해 활용되는 것은 그 유일성, 불변성 때문인데, 바로 그와 같은 특성 때문에 개인의 프라이버시에 미치는 영향도 치명적일 수 있기 때문이다. 즉, 유출되었을 경우 변경할 수 있는 신용카드 등과 달리, 한번 유출되면 그 피해를 복구하기 거의 불가능하다. 개인정보 유출로 인한 신원 도용의 문제 외에도, 인식 오류로 인한 피해, 장애인 접근권의 문제 등도 지적되고 있다. 또한 DNA나 얼굴 인식과 같이 수집된 정보들이 인증 목적의 정보 외에도 다른 정보 역시 포함할 수 있기 때문에, 친족 등의 프라이버시 침해나 목적 외 이용 등의 문제도 제기된다. 무엇보다 이렇게 수집, 축적된 바이오 정보가 국가 감시의 용도로 사용될 위험성도 크다. 이미 범죄 예방을 목적으로 수집이 허용된 DNA 정보가 집회, 시위자 혹은 정부에 비판적인 인사에 대해서도 수집되고 있다는 우려가 제기되고 있다. 특히, 한국의 경우 수사 목적의 개인정보 접근에 대한 규제가 미약하고, 전 국민 단일 식별자인 주민등록번호의 존재, 비밀정보기관인 국가정보원에 대한 통제 미약 등의 요인에 의해, 바이오 정보가 국가 감시의 목적으로 사용될 위험성이 더욱 크다고 할 수 있다.
일상적인 모니터링을 기반으로 건강관리 서비스를 제공하기 위한 바이오 정보 수집과 이용은 새로운 문제를 야기한다. 예를 들어 환자 낙상을 예방하기 위해 가정에 설치된 센서는 환자가 개인적으로 행하는 가정 생활 모두를 감시하고 관련 정보를 전송하게 된다. 환자와 가족과의 관계, 환자의 내밀한 내면 생활 등이 여과 없이 기록되고 전송되는 것이다. 이와 같은 방식으로 수집된 바이오 정보에 대해서는 정보 주체가 그 정보에 대한 권리를 주장하기 힘들다는 난점이 존재한다. 관련 업체들이 다양하고 복잡한 약관이나 동의서의 형태로 개인의 정보 권리를 제약하기 때문이다. 이러한 영역에서의 바이오 정보 수집, 이용은 바이오 정보에 대한 자기 관리권, 통제권에 대한 논란을 불러일으킨다는 점에서 사회적 논의가 필요하다.
유전자 정보 등 바이오 정보를 활용한 유전자/건강 상담은 그 근거와 효과는 차치하고서라도, 그러한 바이오 정보 활용이 개인의 직업 선택권을 제약하거나, 특정 유전자를 가진 이들을 차별하는데 악용될 수 있다는 점에서 심각한 문제를 내포하고 있다.
바이오 정보의 프라이버시 침해 등 인권 침해 우려는 이미 오래전부터 제기되어 왔지만, 이에 대응하기 위한 법제도의 개선은 별다른 진척이 없는 상황이다. 정보통신부가 2005년 및 2007년에 가이드라인을 발표하였고, DNA 정보 수집을 목적으로 한 법률, CCTV 규제에 대한 내용이 ｢개인정보 보호법｣에 들어가 있을 뿐, 바이오 정보에 초점을 맞춘 별도의 법적 규제는 없는 상황이다.
이러한 상황임에도 바이오 정보의 산업 측면의 성장 가능성만 주목이 되고 있을 뿐, 바이오 정보가 장기적으로 프라이버시권에 미칠 영향에 대한 논의는 빈약한 실정이다.
따라서, 본 연구는 공공 및 민간 영역에서, 그리고 국내 및 세계적으로 바이오 정보의 기술 발전 및 도입 실태, 바이오 정보의 유출이나 바이오 인증의 도입에 따른 제반 피해의 실태, 바이오 정보의 수집 및 이용과 관련된 법제의 국내외 현황, 바이오 인증에 대한 시민들의 인식 현황 등을 파악하고, 이를 기초로 바이오 정보 관련 법제도 및 정책의 개선 방향에 대해 제안하고자 한다.

이와 같은 사태는 충분히 예견되던 것이다. 이명박, 박근혜 정부가 신성장 동력으로 정보통신산업과 의료 혹은 건강산업과의 융합을 거론한 이후, 이와 관련된 시장은 빠르게 커져 갔고 부작용을 막기 위한 관련 규제는 더디거나 뒷걸음질 쳐 왔다. 의료와 정보통신기술의 융합이 국민들에게 해만 끼치는 것은 아니다. 하지만 적절히 규제되지 않을 경우 크나큰 손실과 해악이 있을 수 있다. 가장 대표적인 것이 관련 서비스의 안전성, 개인의 질병/건강 정보 유출로 인한 개인의 프라이버시 침해, 정보의 상업적 오남용이다. 제대로 된 정부라면 이런 부분을 우선적으로 검토하며 정책을 추진해야 한다. 그런데 현 정부는 관련 산업을 키우는 데에만 혈안이 되어있고, 개인 질병/건강 정보 보호보다는 활용에 중점을 둔 정책이 추진되고 있다. 그 결과 SK 텔레콤 등의 불법적 개인 질병/건강 정보 활용 사건이 발생했다. 향후 재발 방지와 근본적 문제 해결을 위해서는 의료와 정보통신기술의 융합의 경제적 측면에 대한 고려에 앞서, 개인의 프라이버시와 인권, 안전을 먼저 고려하여야 한다.

질병/건강 정보 활용의 아킬레스 건, 정보 보안, 프라이버시 침해 문제

의료와 정보통신기술의 융합을 통해 환자의 건강을 향상시키고 의료 현장의 편의를 도모하며 비용도 절감할 수 있다면 그 방법을 마다할 이유는 없다. 하지만 이러한 시도가 거품에 불과할 뿐, 의료적 효용은 별로 없고 일부 관련 업체의 이윤만을 위한 것이라면 그것은 문제다. 그 과정에서 개인의 질병/건강 정보가 유출되어 프라이버시가 침해되고 본인의 의사와 상관없이 상업적으로 악용된다면 그 피해는 개인적으로나 사회적으로도 엄청나다.

의료와 정보통신기술의 융합에 의해 만들어지는 개인 질병/건강 정보는 매우 민감한 정보들인 경우가 많다. 예를 들어 환자 낙상을 예방하기 위해 가정에 설치된 센서는 환자가 개인적으로 행하는 가정생활 모두를 감시하고 관련 정보를 전송하게 된다. 환자와 가족과의 관계, 환자의 내밀한 내면생활 등이 여과 없이 기록되고 전송되는 것이다. 이러한 정보가 환자의 개인 정보 보호의 의무를 지고 있는 의료기관이 아니라 제3자, 심지어 상업적 이득을 목적으로 하는 회사에 전송된다고 생각해 보자. 이로 인한 부작용이 만만치 않을 것임은 쉽게 미루어 짐작할 수 있다.

더 큰 문제는 대부분 이와 같은 방식으로 생성된 질병/개인 정보에 대해서는 환자 개인이 그 정보에 대한 권리를 주장하기 힘들다는 점이다. 업체들이 다양하고 복잡한 약관이나 동의서의 형태로 개인의 정보 권리를 제약하기 때문이다. 그러므로 의료와 정보통신기술 융합으로 인해 새롭게 생성된 질병/건강 정보에 대한 자기 관리권이 상실될 수 있다는 큰 문제에 봉착한다.

정보의 표준화, 전송, 집적 등의 과정에서 이러한 민감한 개인 질병/건강 정보의 보안이 취약해질 수 있다는 것은 잘 알려진 사실이다. 아무리 데이터를 암호화하고 보안 수준을 높인다고 하여도 정보의 수집, 전송, 집적 과정에서 해킹의 가능성은 무궁무진하다. 소프트웨어나 하드웨어 수준에서도 가능하고 단말기를 다루는 사람을 통한 방식도 가능하다. 보안 수준이 높다는 국가의 정보기관 컴퓨터도 해킹될 수 있는 시대에 의료기관이나 관련 업체의 데이터 보안 수준으로 이러한 범죄를 100% 막을 방법은 없다.

개인 질병/건강 정보가 유출되거나 상업적으로 악용되었을 때, 그것이 개인과 사회에 미치는 영향은 지대하다. 개인의 질병/건강 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 예를 들어 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 노출되어 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있다. 특히 그러한 질병/건강 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아, 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따를 당할 수 있다는 점에서 치명적이다. 관련 정보가 노출되어 민간의료보험 가입이나 급여 수급시 차별을 받을 가능성도 존재한다.

개인 질병/건강 정보 보안에 대한 신뢰 붕괴는 의료 시스템 전반을 위협할 수 있다는 점에서 이는 큰 사회 문제다. 진료 과정에서 환자와 의사간 솔직한 정보 교환은 효과적 의료를 위한 기본 전제다. 환자는 내가 내밀한 얘기를 해도 이 정보가 노출되지 않을 것이라는 확신이 있기 때문에 의사에게 많은 정보를 털어놓는다. 그런데 이러한 정보가 의료기관이 아닌 다른 곳에 집적되고 유출 위험에 노출되어 있다는 것을 알게 되면 어떻게 될까? 의사-환자간의 신뢰 관계가 무너지고 진료실 안에서 진실한 정보를 얻기 힘들어질 수 있다. 이는 신뢰를 기반으로 하는 의료 시스템의 총체적 붕괴로 이어질 수 있다.

개인의 동의 없이 혹은 형식화된 동의에 기반해 얻은 정보를 가공하고 이용하여 상업적 이득을 취하는 업체들이 많아질 것이라는 점도 문제다. 개인의 질병/건강 정보를 활용하여 새로운 상품을 개발하고 상품 관리의 효율을 높이려는 민간의료보험 회사, 맞춤형 의료기기나 건강관리 기기 등을 판매하려는 의료기기 회사, 건강식품이나 건강 기능 식품을 판매하려는 식품 회사 등은 이러한 정보를 활용하여 부당한 이득을 취하게 될 것이다. 이는 개인에게 속한 질병/건강 정보를 개인의 동의 없이 활용한다는 점에서 강탈이고 도둑질이다.

정부의 의료 정보화 정책은 정보 보안과 개인의 프라이버시 보호 측면에서 재검토돼야

누차 강조하다시피 의료 정보화는 긍정적 면만 있는 것이 아니다. 산업적 측면에서 긍정적 기능이 있을지 모르겠지만, 의료 측면, 인권 측면에서는 부정적인 영향이 적지 않다. 그러므로 이러한 부작용과 부정적 영향을 시뮬레이션하고 모니터링해서 이를 최소화하는 방향으로 정책이 추진되어야 한다. 질병/건강 정보의 특성상 그 부정적 영향이 개인과 사회, 의료 시스템 전반에 미치는 영향이 적지 않으므로 특히 주의가 필요하다.

그런 점에서 개인의 질병/건강 정보를 의료기관이 아닌 제3자가 생성, 취득, 저장, 활용할 수 있도록 하는 것과, 방대한 질병/건강 정보를 한 곳에 집적하려는 시도는 위험하다. 이와 같은 이유로 환자-의료인간 원격 진료 허용 정책은 재고되어야 하고, 클라우드 시스템을 활용한 의료 정보 솔루션 사용은 허용되어서는 안 된다. 기존에 존재하는 빅데이터 활용도 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 질병/건강 정보의 활용에 중점이 두어진 법제가 아니라 보호에 중점이 두어진 새로운 법제가 필요하다.

이상윤(건강과대안 연구위원) / 건치신문 2015년 8월 18일자