약사회 AI 플랫폼 구축, 의료·개인정보 융합 거버넌스 과제 주목
대한약사회가 AI 기반 업무지원 플랫폼 구축에 착수하며 13인 규모 협의체를 가동했다. 의료정보와 AI 융합 환경에서 개인정보보호·보안 설계가 핵심 과제로 부상하고 있다.
https://privacynews.kr/s/bfa9a2핵심 요약
- 대한약사회가 2026년 7월 AI 기반 약사 업무지원 플랫폼 구축을 위해 약학·정보통신·개인정보보호 전문가 등 13명 규모 비상설 협의체 TF를 가동 - 의료정보·처방데이터 등 민감정보 처리 AI 시스템에 AI기본법, 의료법, 개인정보보호법이 중첩 적용되는 복합 규제 환경 직면 - 바이브 코딩 방식 AI 개발 시 의료정보 접근제어·로깅·암호화 등 보안 설계 미흡 위험 선제 대응 필요주요 내용
대한약사회가 2026년 7월 AI 기반 약사 업무지원 플랫폼 구축에 본격 착수했다. 협의체는 약사회 임원·사무국과 약학·약료·정보통신·개인정보보호 분야 관계자, 외부 전문가 등 약 13명으로 구성되며, 사업 기간 동안 비상설 태스크포스 형태로 운영된다. 이는 의료 전문직 단체가 AI 기술 도입을 위해 개인정보보호 전문가를 초기 단계부터 협의체에 포함시킨 선제적 거버넌스 사례로 평가된다.
약사 업무지원 AI는 복약지도, 약물상호작용 검토, 처방 검증 등을 지원할 것으로 예상되며, 이 과정에서 환자의 진료정보·처방전·건강 데이터 등 개인정보보호법상 민감정보를 대량 처리하게 된다. 2025년 시행된 AI기본법 제54조(고위험 AI 관리)와 의료법 제21조(비밀누설 금지), 개인정보보호법 제23조(민감정보 처리 제한)가 중첩 적용되는 복잡한 규제 환경에 놓여 있다.
특히 AI 플랫�폼 개발 시 바이브 코딩(자연어 프롬프트 기반 코드 자동 생성) 방식을 활용할 경우 의료정보 접근제어 로직 누락, SQL 인젝션 취약점, 암호화 미적용, 로그 기록 부실 등 보안 설계 결함이 발생할 수 있다. LLM이 생성한 코드는 기능 구현에 최적화되어 있으나, 의료법·개인정보보호법이 요구하는 접근 권한 분리, 감사 추적, 가명·익명 처리 등 규제 요구사항을 자동 반영하지 못하는 한계가 있다.
협의체에 개인정보보호 전문가가 참여한다는 점은 Privacy by Design 원칙을 플랫폼 설계 초기 단계부터 적용하겠다는 의지로 해석된다. 의료 AI 시스템은 개발·학습·배포·운영 전 단계에서 개인정보 영향평가(PIA), 알고리즘 편향성 검증, 설명 가능성(Explainability) 확보가 필수적이다.
전문가 시각
ISMS-P 선임심사원 관점에서 약사회 AI 플랫폼은 '의료정보 처리 AI 시스템'으로 분류되어 ISMS-P 인증 대상(정보통신망법 제47조)에 해당할 가능성이 높다. 특히 ▲접근통제(2.5) ▲개인정보 암호화(2.8) ▲개인정보 영향평가(3.1.3) ▲민감정보 처리(3.2.1) 통제 항목에 대한 철저한 설계가 요구된다. AI 모델 학습 단계에서 실제 처방 데이터를 사용할 경우 가명처리(개인정보보호법 제28조의2) 또는 합성 데이터 활용이 권고되며, 학습 데이터셋에 대한 접근 로그를 최소 3년간 보관해야 한다.
바이브 코딩 환경에서는 개발자가 프롬프트로 "약물 조회 API 만들어줘"라고 요청 시 LLM이 인증·인가 로직 없이 DB 직접 접근 코드를 생성하는 사례가 빈번하다. 이는 바이브 해킹(프롬프트 조작을 통한 보안 우회) 위협으로 이어질 수 있다. 실무 대응 방안으로 ①AI 생성 코드에 대한 SAST(정적 분석) 필수 실행 ②의료정보 접근 API는 사전 승인된 화이트리스트 기반 템플릿만 사용 ③개인정보 처리 모듈은 수동 코드 리뷰 의무화 ④프롬프트 입력 시 "ISMS-P 접근통제 기준 준수" 명시 등을 권장한다.
CPPG·ISMS-P 연계 포인트
민감정보 처리 제한(개인정보보호법 제23조) 건강정보·처방전 데이터는 민감정보로 별도 동의 없이 처리 불가. AI 학습용 데이터는 가명·익명처리 후 사용하며, 재식별 가능성 검토(제28조의4) 필수. ISMS-P 3.2.1(민감정보 보호) 통제에서 암호화·접근권한 분리 요구.
AI 시스템 안전성 확보(AI기본법 제54조) 의료 의사결정 지원 AI는 고위험 영역으로 분류되어 사전 영향평가, 지속적 모니터링, 설명 가능성 확보 의무. ISMS-P 2.11.1(개발보안) 연계 시 AI 모델 학습 데이터 출처·편향성 검증 기록 보관 필요.


