의료기관 AI 도입 전 과정 개인정보 위험 관리 필수...ISMS-P 인증 강화 본격화
ISMS-P 선임심사원이 MPIS 리더스 포럼 2026에서 의료기관의 AI 도입 과정 전반에 걸친 개인정보 위험과 강화된 인증기준 적용 방안을 제시했다.
https://privacynews.kr/s/bdcd71핵심 요약
- ISMS-P 인증기준이 2026년 5월부터 강화되어 의료기관 등 주요 기관에 인증 의무화 추진 - 의료기관의 AI 도입 전 과정(데이터 수집·학습·활용)에서 개인정보 위험 관리 필요성 부각 - 상시 점검체계 마련으로 인증의 실효성 제고, 개인정보 처리 규모·위험 기반 차등 적용 예정주요 내용
백남정 ISMS-P 선임심사원(공학박사)은 'MPIS 리더스 포럼 2026'에서 의료기관의 인공지능(AI) 도입 과정 전반에 걸친 개인정보 보호 위험을 지적하며, 강화된 ISMS-P 인증기준의 필요성을 강조했다. 2026년 5월부터 시행된 관련 고시 개정에 따라, 의료기관을 포함한 개인정보 대량 처리 기관에 대한 인증 요구사항이 대폭 강화되고 있다.
특히 의료기관은 진료기록, 유전정보, 건강검진 데이터 등 민감정보를 대량으로 처리하면서 AI 기반 진단·예측 시스템을 도입하는 과정에서 복합적인 개인정보 위험에 노출되어 있다. AI 모델 학습을 위한 데이터 수집 단계부터 비식별 처리, 모델 학습 과정에서의 데이터 유출 위험, 추론 결과 활용 시 재식별 가능성 등 전 과정에서 체계적인 보호조치가 요구된다.
개정된 ISMS-P 인증기준은 개인정보 처리 규모와 위험도를 기준으로 차등화된 인증 의무를 부과하며, 상시 점검체계를 통해 사후 관리를 강화하는 방향으로 전환되고 있다. 이는 일회성 인증 취득으로 끝나는 형식적 준수를 넘어, 지속적인 개인정보 보호 수준 유지를 목표로 한다.
주요 기관에 대한 인증 의무화 방안은 의료법, 정보통신망법 등 개별법과의 연계를 통해 추진되며, 미준수 시 과태료 부과 및 영업 제재 등 실질적 제재 수단도 마련될 전망이다. 백 박사는 "의료기관은 AI 도입 이전에 개인정보 영향평가를 필수적으로 실시하고, 기술적·관리적 보호조치를 사전 설계 단계부터 반영해야 한다"고 강조했다.
전문가 시각
30회 ISMS-P 선임심사원으로서 다수의 의료기관 심사를 수행한 경험에 비추어 볼 때, 현재 대부분의 의료기관은 AI 시스템 도입 시 개인정보 보호를 사후적 고려사항으로 인식하는 경향이 있다. 특히 외부 AI 솔루션 도입 시 제3자 제공 동의, 처리위탁 계약, 기술적 접근통제 등 기본적인 법적 요구사항조차 누락되는 사례가 빈번하다. Privacy by Design 원칙에 따라 AI 시스템 기획 단계부터 개인정보보호 책임자(CPO)와 정보보호 담당자가 참여하는 거버넌스 체계를 구축해야 한다.
강화된 인증기준에 대응하기 위해서는 단순히 인증 취득이 아닌, 조직 내 개인정보 보호 문화 정착에 초점을 맞춰야 한다. 특히 의료 AI의 경우 학습 데이터의 품질과 편향성이 진료 결과에 직접 영향을 미치므로, 데이터 최소수집 원칙, 목적 외 이용 금지, 보유기간 제한 등 개인정보 라이프사이클 전반에 걸친 통제 체계가 필수적이다. 상시 점검체계 도입에 대비해 내부 자체점검 프로세스를 정례화하고, 위험 기반 접근법(Risk-based Approach)으로 핵심 취약점을 우선 관리하는 전략이 요구된다.
ISMS-P 심사원 체크포인트
1. AI 시스템 개인정보 영향평가 (인증기준 3.1.2 / 개인정보보호법 제33조)
- **심사 주요 확인사항**: AI 모델 학습용 데이터 수집·이용 목적의 명확성, 데이터 최소화 원칙 준수 여부, 민감정보 처리 시 법적 근거 확보 여부 - **점검 문서**: 개인정보 영향평가서, AI 시스템 데이터 흐름도(DFD), 제3자 제공·처리위탁 현황 - **위험 시나리오**: 학습 데이터셋에 불필요한 민감정보 포함, 목적 외 이용, 동의 없는 데이터 수집2. 비식별 처리 및 재식별 위험 관리 (인증기준 3.3.4 / 개인정보보호법 제28조의2)
- **심사 주요 확인사항**: AI 학습 데이터 비식별 조치의 적정성(가명처리/익명처리 구분), 재식별 위험 평가 수행 여부, 결합 데이터 안전성 확보 조치 - **점검 문서**: 비식별 조치 절차서, 재식별 위험 평가 결과, 외부 전문기관 적정성 검토 의견서 - **위험 시나리오**: 부적절한 비식별 처리로 인한 재식별 가능성, 복수 데이터셋 결합 시 식별 위험 증가3. AI 시스템 접근통제 및 로깅 (인증기준 2.8.2, 2.9.1 / 개인정보보호법 제29조)
- **심사 주요 확인사항**: AI 모델 학습 환경 접근권한 관리, 개인정보 처리 로그 기록 및 보관, 모델 추론 과정 추적 가능성 - **점검 문서**: 접근권한 관리대장, 개인정보 처리 로그, AI 시스템 보안 설정 문서 - **위험 시나리오**: 개발자의 무분별한 학습 데이터 접근, 로그 미기록으로 인한 유출 사고 추적 불가CPPG·ISMS-P 연계 포인트
1. 개인정보 영향평가(PIA) 의무 대상 및 절차 개인정보보호법 제33조에 따라 ①민감정보를 100만 명 이상 처리하거나 ②고유식별정보를 100만 명 이상 처리하는 공공기관은 개인정보 영향평가를 의무적으로 수행해야 한다. 의료기관의 AI 시스템은 대부분 건강정보(민감정보)를 활용하므로 영향평가 대상이 되며, 평가서에는 개인정보 흐름 분석, 위험도 평가, 보호조치 계획이 포함되어야 한다. ISMS-P 인증심사 시 영향평가 수행 여부 및 권고사항 이행 실적을 필수 확인한다.
2. 가명정보·익명정보 처리 기준 (개인정보보호법 제28조의2~제28조의7) AI 학습용 데이터는 비식별 처리 수준에 따라 ①가명정보(통계작성·연구 목적 처리 가능, 결합 시 승인 필요) 또는 ②익명정보(개인정보보호법 적용 제외)로 구분된다. 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하되, 재식별 위험을 주기적으로 평가해야 한다. ISMS-P 심사 시 비식별 조치 절차의 적정성, 외부 전문기관 검토 여부, k-익명성·l-다양성 등 기술적 적정성을 점검한다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
