Home > 전체기사
나이팅게일 되려고 수천만 명 의료 정보 수집하고 분석한 구글
  |  입력 : 2019-11-14 17:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
의료 전문 비영리 단체 어센션과의 파트너십 통해 의료 정보 다량 확보
“의료 서비스 향상 위한 합법적 연구 행위” vs. “프라이버시 보호, 갈 길 멀어”


[보안뉴스 문가용 기자] 구글이 인공지능을 활용해 수천만 명의 의료 기록 및 관련 세부 정보를 상세하게 분석했다는 보도가 나와 비판을 받고 있다. 이에 미국 의료정보보호법인 HIPAA 전문가들이 구글의 행위에 위반 사항이 있었는지를 조사까지 시작했다.

[이미지 = iclickart]


이런 일이 있기 전 구글은 먼저 미국 21개주에서 운영되고 있는 비영리 건강 시스템인 어센션(Ascension)과 파트너십을 맺었다. 구글이 클라우드 및 G스위트 서비스를 제공해 어센션의 생산성을 높이는 것이 파트너십의 기본 골자였다. 여기에 어센션의 의료진들이 보다 빠르고 쉽게 환자 정보에 접근할 수 있도록 해주는 도구를 실험적으로 만들어 운영해본다는 내용도 추가되어 있는데, 이 때문에 파트너십 채결 당시에도 적잖은 비판을 받았다.

이번에 해외 언론들이 공개한 내용에 따르면 당시 어센션과의 파트너십을 통해 구글은 어센션이 운영하는 병원과 진료소 등 각종 시설 2600곳으로부터 환자들의 의료 정보를 모조리 공급받고 있었다. 이 데이터를 인공지능에 주입함으로써 보다 나은 치료법이나 의사 소견이 나올 수 있기를 기대한 것이다.

내부적으로 이 프로젝트에는 나이팅게일이라는 이름이 붙었다(Project Nightingale). 어센션의 의사와 간호사들은 환자를 진찰하고 나서 데이터를 구글이 제공한 클라우드에 입력했다고 한다. 문제는 이런 모든 과정 중에 환자의 동의를 구한 적이 없었다는 것이다. “심지어 의사들도 정확한 사실을 모르고 있었습니다. 그러는 동안 구글 직원 약 150명은 누군가의 상세 의료 정보에 마음껏 접근하고 있었고요.”

이러한 보도가 있은 후 구글은 자사 블로그를 통해 어센션과의 파트너십이 있는 건 분명하다고 밝혔다. 구글의 산업 제품 및 솔루션 회장인 타릭 쇼캣(Tariq Shaukat)이 해당 글을 작성했는데, 상세한 내용을 충분히 밝히지는 않고 있다. 다만 “오로지 어센션의 의료진들이 환자들을 돌보고 치료하는 일이 수월해지고 효과적이 되도록 노력하는 차원에서 그러한 프로젝트를 시작한 것”이라고 주장했다.

또한 “HIPAA는 분명히 의료 서비스 제공자가 데이터 주체자들의 허락이나 동의 없이 사업상 파트너들에게 공유할 수 있다고 명시되어 있다”고 강조하기도 했다. 다만 이 법에 따르면 의료 기관이나 파트너사가 의료 서비스 증진을 목적으로만 데이터를 활용할 수 있도록 되어 있는데 구글 역시 그러한 점에서 벗어나지 않았다고 주장했다.

구글은 나이팅게일 프로젝트를 위한 데이터 보안 계획에 대해 다음과 같이 공개했다. “데이터는 논리적으로 어센션에만 독립적으로 저장되어 있습니다. 가상의 비밀 공간에, 암호화 되어 있기도 합니다. 이런 환자들의 데이터는 어센션의 의료 서비스를 증진시키고자 하는 목적 외에 그 어떠한 목적으로도 활용되지 않고 있습니다. 특히 광고를 목적으로 한 사업 행위에는 절대로 이 데이터가 사용되지 않습니다.”

그러면서 구글은 데이터에 대한 접근 제어 장치는 물론 데이터 격리, 철저한 로깅, 감사와 같은 절차가 꼼꼼하게 마련되어 있다고 주장하기도 했다.

하지만 미국 보건사회복지성(Department of Health and Human Services)의 시민권사무소를 담당하고 있는 로저 세버리노(Roger Severino)는 월스트리트저널과의 인터뷰를 통해 “구글이 시민들의 개인정보 및 민감 정보를 허락 없이 대량으로 수집한 것은 분명하고, 더 많은 사실을 알아내기 위해 조사를 시작했다”고 밝혔다. 특히 HIPAA를 위반한 사안이 없는지 확인할 계획이라고 한다.

보안 업체 멀웨어바이츠(Malwarebytes)의 디렉터인 아담 쿠자와(Adam Kujawa)는 “살펴볼 것도 없이 분명한 HIPAA 위반”이라고 주장했다. 그러면서 “그 동안 내부자 위협과 관련된 사건이 하나도 발생하지 않았다고 어떻게 장담하겠는가”라고 의문을 제기하기도 했다. “사이버 범죄자들 사이에서 의료 건강 정보는 꽤나 높은 가격에 거래됩니다. 정말 단 한 명도 이 쉬운 돈벌이에 눈길을 주지 않았다고 장담할 수 있나요? 그 부분도 철저히 조사해야 합니다.”

인증 전문 업체인 액셉토(Acceptto)의 수석 보안 아키텍트인 포스토 올리베이라(Fausto Oliveira)는 “구글과 같은 기업들이 아무리 언론에 나와 ‘데이터 보호에 힘쓰고 있고 프라이버시 강화에 앞장서고 있다’고 말한들, 실제로 일반 개인정보 주체들이 자신의 프라이버시를 지키기 위해 할 수 있는 일이 그리 많지 않다는 사실에는 변함이 없다”고 지적했다.

“소비자들의 관점에서 보자면, 자신이 아무리 프라이버시와 개인정보를 지킨다고 하더라도, 구글과 같은 기술 기업들이 마음먹고 데이터를 가져가고 사용하는 걸 막을 방법이 없습니다. 지금도 구글은 ‘의료적 행위만을 위해 데이터를 활용했다’고 하는데, 솔직히 그걸 투명하게 확인할 방법도 없습니다. 구글의 의도가 그랬다 하더라도, 그 과정 가운데 실수나 내부자의 악성 행위가 없었다고 100% 확신할 수도 없는 것이고요.”

결국 이번 사태에서 뼈아프게 드러난 건, 개인의 온라인 인권과 프라이버시가 아직은 말로만 강화되고 있다는 것이다. 즉 정보의 주체가 실질적으로 개인정보를 보호하기 위해 할 수 있는 일이나 사용할 수 있는 장치가 전무하다시피 한 게 작금의 현실이라고 쿠자와는 주장한다. “개개인이 자신의 데이터를 제어할 수 있게 해주는 정책과 장치가 필요합니다. 개인정보를 통해 수익을 올리고 사업을 하는 자들은 얼마든지 정보의 수집과 공유, 활용이 가능합니다. 우리들의 옵션은 ‘제로’이고요.”

그러면서 쿠자와는 “현대의 데이터 프라이버시 시스템은 심각하게 훼손되어 있다”고 말했다. “기업들이 법망을 요리조리 피해가면서 여전히 데이터를 몰래 모으고 활용할 수 있는 건, 그들을 실제로 멈추게 할 제도들이 마련되어 있지 않아서입니다. 실제적인 브레이크가 없다는 겁니다. 기업들에 브레이크를 달아줘야 할 때입니다. 그들은 너무나 아무렇지 않게 선을 넘고 있습니다.”

올리베이라는 “해킹의 위험 역시 심각하게 고려해야 한다”고 지적했다. “구글이 해킹을 잘 당하는 기업이 아닌 건 맞지만, 그렇다고 해서 해킹될 가능성이 앞으로도 0%로 유지될 거라고 말할 수 없습니다. 단 한 명에게라도 어센션에서 수집된 의료 데이터가 침해된다면 전 세계 사이버 범죄자들이 이 DB를 노리기 위해 달려들 겁니다.”

3줄 요약
1. 구글, 어센션이라는 의료 조직과 파트너십 맺고 의료 기록 수집 및 분석.
2. 의료 목적을 위해서라고 하지만 환자 본인의 동의를 구하는 단계 거치지 않음.
3. 구글은 “합법적 행위”, 업계에서는 “프라이버시 보호 시스템 손 봐야”

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제