지금 무슨 일이 일어나고 있는가
2026년 6월 18일, 보건복지부는 서울 T타워에서 15개 의료 AI·디지털헬스 업체와 보건의료데이터 정책 간담회를 열었다. 시민사회·환자단체·노동계에 이어 산업계와의 대화를 통해 디지털헬스케어법(가칭 보건의료데이터 활용 및 보호에 관한 법률) 제정에 속도를 내는 모양새다. 표면적으로는 의료 AI 산업 육성과 환자 데이터 보호라는 두 목표를 동시에 달성하려는 시도지만, 현장에서 이 두 가지는 구조적으로 충돌한다.
이 글은 현재 추진 중인 법안의 핵심 쟁점을 분석하고, 국제적 규제 동향과 비교하여 임상 현장에서 실질적으로 무엇이 달라질 수 있는지 짚어본다.
현재 규제 공백과 법안의 배경
현재 한국에서 의료 AI 소프트웨어는 디지털의료제품법(2024년 시행)에 의해 규율되고 있으나, 이 법은 기기 분류와 허가 절차에 초점이 맞춰져 있다. 정작 핵심 문제인 ‘어떤 데이터를, 어떻게, 누가 활용할 수 있는가’에 대한 포괄적 근거는 없다. 개인정보 보호법, 의료법, 생명윤리법이 복잡하게 얽혀 있어 AI 학습용 의료 데이터를 정제·결합·반출하는 과정에서 법적 불확실성이 지속적으로 발생하고 있다.
이 구조적 공백이 의료 AI 개발사에게는 규제 리스크로 작용한다. 기업 입장에서는 대규모 임상 데이터 없이는 유의미한 모델을 훈련할 수 없고, 환자 입장에서는 자신의 민감 정보가 상업적으로 유통될 수 있다는 우려가 현실적이다. 복지부가 이번 간담회에서 ‘현장 애로사항’을 청취한 것은 이 긴장을 해소하기 위한 사전 작업으로 읽힌다.
핵심 쟁점: 데이터 활용 vs 개인정보 보호
디지털헬스케어법 제정 논의에서 반복적으로 등장하는 쟁점은 크게 세 가지로 정리된다.
1. 가명처리 데이터의 재식별 위험
현행 개인정보 보호법은 ‘가명처리’된 의료 데이터를 통계 작성, 과학 연구 등에 활용할 수 있도록 허용한다. 그러나 의료 데이터는 특성상 재식별 위험이 높다. 희귀질환 환자, 특정 지역 거주자, 드문 시술 이력이 결합되면 가명처리만으로는 개인 식별이 가능하다. 2025년 Lancet Digital Health에 게재된 검토(El Emam et al., 2025)에 따르면, 병원 기록 데이터의 85% 이상은 인구통계 정보 3~4개만으로 재식별이 이론적으로 가능하다. 이는 ‘가명처리 = 안전’이라는 가정이 의료 영역에서는 성립하지 않음을 의미한다.
2. 규제 대상 판단 기준의 모호함
디지털의료제품법은 ‘의료적 판단이나 치료 과정에 영향을 미치는지’를 기준으로 규제 대상을 판단한다. 그러나 이 기준은 지나치게 포괄적이어서 사례별 해석에 의존할 수밖에 없다. 예를 들어, 환자의 활동량을 분석해 의사에게 참고 정보를 제공하는 앱은 규제 대상인가? 의사의 처방을 직접 바꾸지 않더라도 ‘임상 결정에 영향을 미친다’는 해석이 가능하다면 규제 범위는 사실상 무한히 확장된다. 이러한 불명확성은 미국 FDA가 2016년 이후 임상결정지원(CDS) 소프트웨어와 SaMD의 경계를 명시적 가이드라인으로 정리해온 방향과 대비된다.
3. 국가 주도 데이터 플랫폼의 지배구조 문제
법안 논의 과정에서 건강보험심사평가원, 국민건강보험공단, 질병관리청이 보유한 공공 의료 데이터를 통합 플랫폼을 통해 민간에 개방하는 방안이 검토되고 있다. 이는 데이터 활용도 측면에서 잠재력이 크지만, 누가 어떤 기준으로 접근 권한을 부여하고 감사하는지에 대한 거버넌스가 명확하지 않으면 공공 데이터가 상업적 목적에 편향적으로 활용될 위험이 있다.
국제 규제 비교: FDA와 EU AI Act에서 배울 것
미국 FDA는 2026년 현재 1,000개 이상의 AI·ML 기반 의료기기를 허가했으며, Predetermined Change Control Plan(PCCP) 제도를 통해 알고리즘이 학습 후 변화하더라도 매번 재허가를 받지 않아도 되는 경로를 마련했다. 핵심은 변경 전 계획(Pre-Spec)과 알고리즘 변경 프로토콜(ACP)을 사전에 제출하고 이를 투명하게 공개하는 방식이다. 이는 ‘혁신의 속도’와 ‘규제 예측가능성’을 동시에 확보하려는 설계다.
EU AI Act(2024년 발효)는 한발 더 나아가 의료 AI를 ‘고위험(High-Risk) AI 시스템’으로 분류하고, CE 인증 외에도 독립적 위험 관리 시스템, 데이터 거버넌스 요건, 인간 감독(human oversight) 의무를 명시했다. 특히 훈련 데이터의 편향 검토와 지속적 성능 모니터링 의무는 한국의 현행 체계에서 사실상 공백으로 남아 있는 부분이다.
한국이 참고할 수 있는 또 다른 사례는 영국 NHS의 DATA-SAVES-LIVES 프레임워크다. NHS는 환자 데이터 사용에 대한 사전 동의 체계를 간소화하면서도, 독립적인 데이터 접근 심의위원회(DAA)가 모든 요청을 검토하도록 했다. 접근 승인 내역은 공개 레지스트리에 등록되어 시민 감시가 가능하다. 이처럼 ‘투명한 거버넌스’가 신뢰의 기반이 된다.
임상 현장에서의 실질적 의미
이 논의가 임상 현장에 직접적으로 연결되는 지점은 명확하다. 의료 AI 모델의 성능은 결국 훈련 데이터의 질과 양에 의해 결정된다. 법적 근거가 불명확한 상태에서는 대형 병원들이 데이터 제공을 꺼리게 되고, 이는 한국인 임상 데이터 기반 AI 모델의 성능 저하로 이어진다. 실제로 미국이나 유럽의 의료 AI를 한국 임상 환경에 그대로 도입할 경우, 한국인 특이 질병 패턴(예: 헬리코박터 감염률, 대장암 발생 분포, 위암 조기 발견 특성 등)을 반영하지 못해 판독 정확도가 낮아질 수 있다.
반대로 규제 없이 데이터를 무분별하게 개방하면 환자 신뢰가 무너지고, 결국 임상 데이터 자체의 질과 완결성이 저하된다. 환자가 자신의 정보가 어디에 쓰이는지 모른다면 정확한 정보를 제공할 유인이 줄어든다. 이는 의료 AI 생태계 전체의 붕괴로 이어질 수 있는 악순환이다.
응급의학과 전문의의 한 마디
응급실에서 매일 마주하는 현실은 단순하다. 환자 정보가 빠르고 정확하게 공유될수록 진단이 빠르고, 처치가 적절해지고, 환자가 살아남을 확률이 높아진다. 이 관점에서 보면 의료 데이터 활용을 가로막는 규제 공백은 단순한 행정 문제가 아닌, 임상적 손실이다.
그러나 동시에, 응급실에서 의식 없는 환자가 실려올 때 그 환자의 데이터가 어디에 어떻게 쓰이는지 물어볼 방법이 없다. 이 순간에 필요한 것은 ‘이 환자의 이전 처방 기록과 알레르기 이력’이지, ‘이 데이터가 어느 기업의 AI 모델 학습에 활용됐는지’가 아니다. 하지만 전자가 가능하려면 후자에 대한 사회적 신뢰 체계가 먼저 구축되어야 한다.
복지부가 산업계와 간담회를 여는 것은 필요한 과정이다. 그러나 현장 의료진과 환자 당사자의 목소리가 충분히 반영되지 않은 법안은, 아무리 잘 설계된 알고리즘이 있어도 실제 임상 수용도가 낮아 현장에서 외면받을 가능성이 높다. 규제 설계는 기술 문제가 아니라 신뢰 설계의 문제다. 그리고 신뢰는 투명성과 참여에서만 나온다.
References
- El Emam K, et al. “Re-identification risk in hospital records: implications for health data sharing policy.” Lancet Digital Health. 2025;7(3):e201-e210.
- U.S. Food and Drug Administration. Artificial Intelligence-Enabled Medical Devices. FDA.gov. 2026. Available at: https://www.fda.gov/medical-devices/software-medical-device-samd/artificial-intelligence-enabled-medical-devices
- PDP Spectra. “AI Medical Devices FDA 2026: PCCP and SaMD.” pdpspectra.com. 2026. Available at: https://pdpspectra.com/blog/ai-medical-devices-fda-2026/
- European Parliament. EU Artificial Intelligence Act. Regulation (EU) 2024/1689. Official Journal of the European Union. 2024.
- Iatrox. “AI in Healthcare 2026: 4 Countries, 4 Approaches.” iatrox.com. 2026. Available at: https://www.iatrox.com/blog/ai-in-healthcare-2026-trends-uk-us-canada-australia
- 보건복지부. “15개 의료AI·디지털헬스 업체와 보건의료데이터 정책 논의.” Medipana. 2026.06.18.
- 비즈니스포스트. “복지부 ‘디지털헬스케어법안’ 제정 드라이브, 의료 데이터 AI활용에 ‘개인정보 보호’는 쟁점.” businesspost.co.kr. 2026.06.18.
- 지평 테크레이더. “디지털의료제품법의 도입과 한계.” daum.net. 2026.06.11.