속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

중국 병원 650만원에 의료기록 판매…AI 의료데이터 거래와 개인정보 보호 딜레마

중국에서 환자 의료기록이 650만원에 불법 거래되는 사례가 적발되며 AI 산업용 의료데이터 활용과 개인정보 보호 원칙 사이의 균형이 시급한 과제로 부상하고 있다.

백남정 기자
입력 2026년 7월 17일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/fe04d6

핵심 요약

- 중국 의료기관에서 환자 의료기록을 650만원에 불법 거래하는 사례 발생, AI 산업용 데이터 수요 증가와 연관 - 의료정보는 개인정보보호법상 민감정보로 환자 권리와 직결되며, 부적절한 처리 시 법적 분쟁 및 신뢰 훼손 위험 심각 - AI 의료데이터 활용 확대 속에서 개인정보 보호 원칙 준수를 위한 기술적·관리적 보호조치 강화 필요

주요 내용

2026년 현재 AI 의료 산업의 급성장과 함께 의료데이터의 불법 거래 사례가 국제적으로 증가하고 있다. 최근 중국에서 적발된 사례에서는 병원 관계자가 환자의 진료기록, 검사결과 등 민감한 의료정보를 약 650만원에 판매한 것으로 드러났다. 이는 AI 모델 학습을 위한 의료데이터 수요가 폭발적으로 증가하면서 발생한 전형적인 개인정보 침해 사례다.

의료기록은 개인정보보호법상 '민감정보'에 해당하며, 건강에 관한 정보로서 정보주체의 동의 없이 처리할 수 없다. 특히 의료데이터는 개인의 질병 이력, 유전 정보, 생체 정보 등을 포함해 한번 유출되면 회복 불가능한 피해를 초래할 수 있다. 업계 관계자는 "환자의 권리와 연결된 민감정보를 제대로 다루지 않으면 거래가 늘어날수록 법적 분쟁과 신뢰 훼손 위험이 커질 것"이라고 경고했다.

현재 글로벌 AI 헬스케어 시장은 2026년 기준 연평균 40% 이상 성장하고 있으며, 한국에서도 AI 기반 진단 보조 시스템, 신약 개발, 맞춤형 치료 등에 의료데이터가 핵심 자원으로 활용되고 있다. 그러나 데이터의 상업적 가치가 높아질수록 불법 거래 유혹도 커지고 있어, 의료기관의 내부통제와 접근권한 관리가 그 어느 때보다 중요해졌다.

문제는 AI 산업 발전과 개인정보 보호 사이의 균형점 찾기다. 의료데이터를 AI 학습에 활용하려면 비식별화, 가명처리, 안전한 데이터 전송 환경 구축 등 기술적 보호조치가 선행되어야 한다. 또한 데이터 거래 과정에서 정보주체의 명시적 동의 확보, 제3자 제공 내역 기록 관리, 데이터 활용 목적 및 범위의 명확한 설정 등 관리적 보호조치도 필수적이다.

전문가 시각

ISMS-P 심사 현장에서 의료기관의 개인정보 처리 실태를 점검하다 보면, 내부자에 의한 정보 유출 위험이 여전히 높은 수준임을 확인하게 된다. 특히 의료데이터의 경우 진료 업무상 필요에 의해 다수의 직원이 접근 권한을 보유하고 있어, 접근통제 정책의 실효성이 매우 중요하다. 이번 중국 사례처럼 의료기록을 대량으로 추출해 외부에 판매하는 행위는 접근 로그 모니터링, 이상징후 탐지 시스템, 직무분리 원칙 등을 제대로 적용했다면 초기 단계에서 차단할 수 있었을 것이다.

AI 의료 산업의 성장은 불가피한 추세이지만, 개인정보 보호 원칙을 훼손하면서까지 데이터를 확보하려는 시도는 결국 산업 전체의 신뢰를 무너뜨린다. 의료기관은 AI 연구기관이나 기업에 데이터를 제공할 때 개인정보 영향평가(PIA)를 실시하고, 데이터 제공 계약서에 재식별 금지 조항, 목적 외 사용 금지, 안전한 파기 절차 등을 명시해야 한다. 또한 AI 모델 개발사는 합법적으로 수집된 데이터만을 사용하고 있음을 입증할 수 있는 데이터 출처 관리(Data Provenance) 체계를 구축해야 한다. 2026년 현재 시행 중인 AI 기본법 하에서도 학습 데이터의 적법성은 AI 시스템 신뢰성 평가의 핵심 요소로 강조되고 있다.

CPPG·ISMS-P 연계 포인트

민감정보의 안전성 확보조치 (개인정보보호법 제23조, 제24조) 의료정보는 대표적인 민감정보로서 수집 시 별도의 동의가 필요하며, 암호화·접근통제·접속기록 보관 등 강화된 안전성 확보조치를 적용해야 한다. ISMS-P 인증기준 2.8.2(민감정보 및 고유식별정보 보호)에서는 민감정보 처리 시 암호화 저장, 별도 저장·관리, 접근권한 최소화 등을 요구하고 있다.

내부자에 의한 정보유출 방지 (ISMS-P 2.9.2) 의료기관 내부 직원에 의한 대량 개인정보 유출을 방지하기 위해서는 사용자 계정 관리, 접근권한 관리, 접속기록 관리 및 점검이 필수적이다. 특히 대량 다운로드나 비정상적 데이터 조회 패턴을 실시간 탐지할 수 있는 모니터링 체계 구축과 이상징후 발생 시 즉각 대응할 수 있는 절차가 마련되어야 한다.

#의료데이터#개인정보보호#AI거버넌스#민감정보#ISMS-P
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사