K-치매 돌봄 AI의 음성합성 기술, 개인정보보호 우려 속 국제 광고상 수상
요양병원의 생성형 AI 치매 돌봄 서비스가 국제 광고상을 받았으나, 가족 음성 학습 방식의 보이스피싱 악용 가능성 등 개인정보보호 쟁점이 부각되고 있다.
https://privacynews.kr/s/58378e핵심 요약
- 국내 요양병원의 생성형 AI 치매 돌봄 서비스가 2026년 국제 광고상을 수상하며 기술력을 인정받음 - 가족 음성을 AI가 학습해 환자와 상호작용하는 방식으로, 음성정보 유출 시 보이스피싱 등 범죄 악용 우려 제기 - 의료·돌봄 분야 AI의 윤리적 이슈와 생체정보 보호 대책 마련이 시급한 과제로 대두주요 내용
2026년 7월, 국내 요양병원이 개발한 생성형 AI 기반 치매 돌봄 서비스가 국제 광고상을 수상하며 'K-헬스케어'의 혁신 사례로 주목받고 있다. 이 서비스는 치매 환자의 가족 음성을 AI가 학습해 익숙한 목소리로 환자와 상호작용함으로써 심리적 안정감을 제공하는 방식이다.
그러나 기술적 성과와 함께 개인정보보호 측면의 우려도 동시에 제기되고 있다. 특히 음성정보는 「개인정보 보호법」상 생체인식정보에 해당할 수 있으며, 한 번 유출되면 변경이 불가능한 특성을 가진다. 개발팀 측은 이러한 위험을 인지하고 "가족의 목소리를 AI가 학습하는 방식인 만큼, 해당 정보가 외부로 유출되거나 보이스피싱과 같은 범죄에 악용될 가능성"에 대해 고민했다고 밝혔다.
의료기관에서 취약계층인 치매 환자를 대상으로 생성형 AI를 활용한다는 점에서 윤리적 고려사항도 복잡하다. 환자의 동의능력 제한, 가족 음성의 2차 활용 범위, AI 생성 음성에 대한 환자의 착각 가능성 등 다층적 쟁점이 존재한다. 2024년 제정된 「인공지능 기본법」이 2025년부터 시행되면서, AI 개발·활용 단계에서의 개인정보 영향평가와 알고리즘 투명성 확보가 법적 의무로 강화되고 있는 시점이다.
특히 음성합성 기술은 딥페이크 범죄에 직접 활용될 수 있는 만큼, 학습 데이터의 저장·전송·폐기 전 과정에서 암호화, 접근통제, 감사추적 등 기술적·관리적 보호조치가 필수적이다. 의료기관이 ISMS-P 인증을 획득했더라도, AI 모델 학습 과정에서의 데이터 흐름과 제3자(AI 개발사) 제공 시 보호조치가 적절히 이행되고 있는지 재점검이 필요하다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, 본 사례는 혁신 서비스와 개인정보보호의 균형점을 찾아야 하는 전형적인 케이스다. 의료기관이 AI 기술을 도입할 때는 「개인정보 보호법」 제15조(개인정보의 수집·이용)와 제17조(개인정보 제공)를 준수하되, 특히 음성정보가 제3자인 AI 개발사에 제공되는 경우 명확한 동의 절차와 목적 외 이용 금지 조치가 반드시 필요하다. 또한 AI 학습 후 원본 음성 데이터의 안전한 폐기와 학습 모델 내 잔존 정보 처리 방안을 사전에 설계해야 한다.
실무적으로는 음성 데이터 수집 단계에서 동의서에 '보이스피싱 등 범죄 악용 시 대응 절차', 'AI 학습 범위 제한', '가족 요청 시 학습 데이터 삭제 방법' 등을 구체적으로 명시할 것을 권고한다. 아울러 의료기관은 AI 개발사와의 계약에서 데이터 처리 위탁 조항을 명확히 하고, 정기적인 보안 모니터링과 취약점 점검을 통해 음성정보 유출 위험을 최소화해야 한다. 2026년 현재 강화된 AI 규제 환경에서는 사후 대응보다 설계 단계부터의 'Privacy by Design' 원칙 적용이 필수다.
CPPG·ISMS-P 연계 포인트
1. 생체인식정보의 특례 (개인정보 보호법 제23조) 음성정보가 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성된 경우 생체인식정보로 분류되며, 정보주체의 별도 동의, 안전성 확보조치 강화, 유출 시 통지 의무 등이 적용됩니다. ISMS-P 인증심사 시 생체정보 처리 시스템의 암호화·접근통제·감사기록 보관이 중점 점검 항목입니다.
2. AI 개발 시 개인정보 영향평가 (AI 기본법 제53조) 고위험 AI 시스템 개발 시 개인정보 처리가 수반되면 사전 영향평가를 실시해야 합니다. 특히 의료·돌봄 분야에서 취약계층 대상 AI 서비스는 차별·편향 위험과 함께 개인정보 침해 가능성을 종합 평가하고, 위험 완화 조치를 문서화해야 합니다.


