미 빅데이터 기업에 흘러간 한국 4300만명의 처방전

경제활동의 근간이 될 빅데이터 휴대폰회사 은행 이제는 약국에서 처방된 개인정보가 외국으로 넘어가 활용되었다니 개인정보의 공유는 어쩔 수 없다지만

빅데이터를 가공하고 활용하는 지식산업의 육성이 절실한 이유다.

미 빅데이터 기업에 흘러간 한국 4300만명의 처방전

한겨레 | 입력 2016.07.18. 09:56 | 수정 2016.07.18. 10:46

[한겨레]빅데이터 제국의 빛과 그림자

technology 철수가 영희를 관찰해서 기록한 데이터는 철수의 것일까, 영희의 것일까? 둘 중 누구의 것이라고 단정할 수 없는 문제다. 하지만 철수가 ‘영희는 성격이 별로야’라고 기록했다면, 그리고 그 기록을 동네 사람들과 돌려 본다면, 이런 사실을 영희는 모른다면, 어떨까? 현대 사회에서 보통 기업은 철수, 개인은 영희다. 그리고 정부는 철수에게 ‘비식별화’라는 강한 힘을 주려 하고 있다.

1954년, 미국 코네티컷주의 노워크라는 작은 도시에서 ‘아이엠에스헬스’(IMS health)라는 기업이 탄생했다. 우리나라는 한국전쟁이 낳은 혼돈으로부터 채 헤어나오지도 못한 시기였다. ‘대륙간 마케팅 서비스’(Intercontinental Marketing Service)라는 멋없는 이름의 이 회사의 사업은 단순했다. 제약사들이 무슨 약을 만들지 판단을 돕는 정보를 제공하는 것이다. 2차 세계대전이 끝난 지 얼마 안 된 당시는 다른 산업과 비슷하게 사장들이 감으로 약을 만들던 때였다. 회사는 수십년간 꾸준히 성장해 대륙을 넘어 뻗어갔다. 우리나라 경제가 빠르게 발전하던 1980년, 한국에도 진출했다. 미국 주식거래소의 기업보고서를 보면, 아이엠에스헬스는 지난해 세계 모든 약 처방의 85%를 알고 있고(판매액 기준), 세계 인구 4억명이 무슨 약을 사먹고 있는지 지속적으로 수집하고 있다. 여기에는 우리나라 국민도 포함되어 있었다. 당사자는 몰랐지만 말이다.

일러스트레이션 김대중

전세계 의료정보의 거대 저장소

서울중앙지검 첨단범죄수사1부 이정수 부장이 단장을 맡고 있는 ‘개인정보범죄 정부합동수사단’은 지난해 7월 한국아이엠에스헬스 대표 등을 기소했다. 개인정보보호법 위반 혐의다. 검찰 수사 결과 이 회사는 2011~2014년 우리나라 국민 4399만명의 의료정보 47억건을 약 20억원에 불법적으로 사들였다. 국민 대부분이 해당한다. 이 정보들은 본사로 보내져 가공돼 100여억원에 제약사들에 되팔렸다.

우리는 이름도 생소한 이 미국 회사에 우리 정보를 주겠다고 한 기억이 없다. 어떻게 이런 일이 있을 수 있었을까. 중간에 다른 회사가 끼어 있었기 때문이다. 검찰은 당시 약학정보원, 지누스 등을 같이 기소했다. 약학정보원은 대한약사회 산하 단체로 약국의 정보관리 프로그램 ‘피엠2000’(PM2000)을 배포하고 있다. 피엠2000은 전국 약국 절반 이상이 쓴다. 지누스는 의사가 병원에서 환자 진료내역을 분석하여 건강보험심사평가원에 급여 청구를 하는 프로그램을 개발해 팔고 있는데, 이 프로그램은 전국 7400개가 넘는 병원에 깔려 있었다.

아이엠에스헬스는 이들과 계약을 맺고 자동화된 방식으로 환자 개인정보를 제공받았다. 약국에서 수집한 정보는 다음과 같다. 주민등록번호, 생년월일, 처방전 번호, 처방일, 환자번호, 상병기호(병 이름), 약값 등 최소 23가지다. 지누스가 수집한 정보는 환자 이름, 주민번호, 의료보험증번호, 진료 정보, 처방 내역 등 최소 13가지다. 장여경 진보네트워크 활동가는 “2011년에야 개인정보보호법이 시행되면서 이런 행위가 불법이 되었다. 실제 수집은 그 전부터 이뤄졌을 가능성이 높다”고 말했다.

다국적기업 아이엠에스헬스는 이런 식으로 한국뿐 아니라 세계에서 연간 450억건의 의료정보를 수집한다. 수집된 정보는 분석을 위해 주로 미국 뉴저지주의 소도시 칼스태트의 센터로 보내진다. 이 정보를 세계 전역에 걸쳐 있는 사람들이 분석을 하는데, 인도인 1200명, 필리핀인 500명, 중국인 200명, 스페인인 200명 등으로 구성돼 있다. 아이엠에스의 지구적 네트워크는 인상적이지만, 다른 미국 굴지의 데이터 기업들이 모으는 정보에 비하면 취급량은 적은 편이다. 2014년 미국 연방거래위원회(FTC)는 이런 데이터 기업들이 대체 개인의 정보를 어떻게 다루고, 문제는 없는지 조사해 <데이터 브로커들>이라는 보고서를 냈다. 9개 브로커가 조사 대상에 포함됐는데 아이엠에스는 끼지도 못했다.

미국은 빅데이터 산업에 있어서 다른 나라가 감히 범접하기 힘든 강국이다. 우리나라를 비롯한 여러 국가의 산업 육성 정책담당자는 이런 미국을 모범으로 삼곤 한다. 가장 대표적인 미국의 데이터 브로커 회사는 액시엄(Acxiom)인데, 세계인 7억명에 대한 포괄적인 소비 정보를 보유하고 있다. 지난해 약 10억달러(1조1300억원)의 매출을 올렸다. 이밖에 <데이터 브로커들>에 포함된 9개 회사들은 소셜미디어, 부동산거래, 금융거래, 인터넷사이트 이용 등 다양한 방면에서 사람들의 정보를 수집한다. 연방거래위원회는 한 회사의 경우 한 개인에 대해 3000개에 달하는 항목의 데이터베이스를 보유하고 있다고 밝혔다. 이는 구글, 페이스북 같이 데이터를 수집만 하고 거래는 하지 않는 더 큰 회사들은 빠진 조사다.

당신이 어떤 병에 걸렸는지
무슨 약을 먹었는지
병원·약국 프로그램 연결해
20억원에 가져간 미국 회사

의료계의 빅데이터 ‘큰손'
연간 450억건 의료정보 분석
세계인의 몸이 IMS헬스 안에

비식별화 처리하면 동의 없이도
정부, 상업적 거래 허가 방침
하반기엔 법 개정 나설 태세

나 몰래 거래되는 내 질환정보

우리나라 정부는 이런 데이터 브로커들을 육성하는 쪽으로 밑그림을 그리고 있다. 빅데이터는 정보기술과 기존 산업을 묶는 융합기술인데, 아직 뚜렷한 성과를 내지 못한 박근혜 정부의 ‘창조경제’ 목표와도 잘 어울린다. 데이터 분석과 처리는 정보사회에서 중요한 기술이다. 지난달 별세한 1세대 미래학자 앨빈 토플러 등 여러 석학들은 정보 인프라의 중요성을 거듭 강조해왔다. 스마트폰을 대표로 삶에 깊숙이 들어온 디지털 기기는 온갖 정보를 생산하며 이를 분석하면 유용한 지식을 얻을 수 있다. 시민의 이동 경로 데이터 분석을 통해 탄생한 서울시의 심야버스는 여기 속하는 사례다. 사람들의 야간 교통 이동 경로를 분석해 많은 이들이 필요로 하는 늦은 밤의 버스 노선을 새롭게 만들었다.

이런 연구를 위한 빅데이터 분석은 현행법에서도 가능하다. 현재 정부 정책의 문제는 기업 쪽 요구에 기울어 개인과 기업 사이의 정보 균형을 심각하게 해치는 쪽으로 성급하게 규칙을 바꾸려 하고 있다는 점이다. 지난 6월30일 발표한 ‘개인정보 비식별 조치 가이드라인’, 7월5일 ‘서비스경제 발전전략’ 등은 모두 전부터 이어져온 개인의 자기정보 결정권 약화 조처의 연장선 위에 있다. 이들의 핵심은 기업이 적절한 조처를 취하면 당사자의 동의를 받지 않아도 정보를 쓸 수 있게 하겠다는 것이다. 하반기에는 관련 법 개정에도 나설 태세다.

아이엠에스헬스 본사의 판매·마케팅 이사인 카를로 실비오니가 한 워크숍에서 발표하고 있다. 출처 플리커의 frontiersofinteraction

아이엠에스의 주 사업분야는 제약회사들에 어떤 의사가 무슨 약을 처방하는지 등에 대한 정보를 제공하는 것이다. 그런데 이번에 적발된 내용을 보면 이 회사는 여기 필요한 정보뿐 아니라 환자들에 대한 정보까지 수집한 것으로 나타났다. 누가 무슨 병에 걸렸고 무슨 약을 처방받았는지 등의 내용이다. 이런 정보를 어디에 썼는지는 기업이 비밀로 하기 때문에 알기 힘들다. 다른 기업에 다시 팔 수도 있고, 복잡한 분석을 통해 고객사에 다른 서비스를 제공할 수도 있다. 정보의 당사자들인 우리는 이 영역을 통제할 수 없다. 미국의 경우 연방거래위원회는 데이터 브로커들이 복잡하게 서로 거래하기 때문에 데이터를 어디에서 얻었는지 밝혀내기 어렵다고 토로하고 있다.

이렇게 유통되는 정보가 예기치 않게 공개될 경우, 어떤 이에게는 치명적인 위험이 될 수도 있다. 예컨대 우리나라에서 여전히 에이즈 환자에 대한 차별은 심각한 문제이고, 많은 환자들이 이를 감춘 채 생활한다. 하지만 어떤 이가 에이즈 약을 처방받은 내역이 자신도 모르는 사이에 공개된다면 어떤 일이 벌어질까? 삶 자체가 파탄의 위기로 몰릴 수도 있다. 에이즈뿐 아니라 모든 병력은 자신의 통제권 안에 있어야 하는 정보다.

더 큰 문제는 이런 정보가 기회의 박탈로 이어질 위험이다. 기업들로서는 채용에 앞서 지원자들의 병력을 미리 알고자 하는 유인들이 있다. 이를 구할 수 있다면 마다할 기업이 어디 있을까? 앞으로 열릴 빅데이터 시대에 질병 정보는 무수한 항목 가운데 하나일 뿐이다. 개인의 수입, 거주지, 이동 경로, 구매 물품 등의 정보가 모이면, 점점 고도화되는 분석 시스템은 복잡한 알고리즘에 따라 이들을 분석할 것이다. 이은우 정보인권연구소 이사(변호사)는 “기업들이 마케팅의 대상이 될 만한 중산층과 그렇지 못한 저소득층을 자동화된 시스템이 구분해 다룬다면 구조화된 차별이 이뤄질 수 있다”고 말했다.

권오성 기자 sage5th@hani.co.kr