AI와 국가 감시: 헬스케어 데이터, 안전한가? (OpenAI, Persona, 정부 연계 시스템 분석) - 나래모아 AI Lab: Health IT

AI와 국가 감시: 헬스케어 데이터, 안전한가? (OpenAI, Persona, 정부 연계 시스템 분석)

최근 공개된 조사 결과는 우리가 일상적으로 사용하는 AI 서비스와 국가 안보를 위한 감시 시스템이 예상치 못한 방식으로 연결될 수 있음을 시사합니다. 특히 헬스케어 분야에서 AI 기술의 도입이 가속화되면서, 환자의 민감한 의료 정보가 잠재적으로 국가 감시 체계에 노출될 위험에 대한 우려가 커지고 있습니다. OpenAI, 미국 정부, 그리고 신원 인증 기업 Persona가 연계된 것으로 추정되는 ‘watchlistdb’ 시스템은 이러한 우려를 현실로 만들고 있습니다. 이 시스템은 사용자의 신원 데이터를 감시하고 보고하는 데 활용될 수 있으며, 얼굴 인식, 금융 범죄 보고, 정치인 유사도 분석, 암호화폐 추적 등 광범위한 검증 절차를 수행합니다. 이는 AI 기술이 가져올 편리함 이면에 숨겨진 잠재적 위험을 명확히 보여주며, 특히 개인의 건강 정보와 같은 민감한 데이터의 보호에 대한 근본적인 질문을 던집니다. 본문에서는 이 시스템의 기술적 원리, 의학적 맥락에서의 함의, 그리고 앞으로 헬스케어 분야의 AI 발전이 나아가야 할 방향에 대해 심층적으로 논의하고자 합니다. 독자들은 이 기사를 통해 AI와 개인 정보 보호, 그리고 국가 안보라는 복잡한 문제의 교차점을 이해하고, 헬스케어 분야에서의 AI 활용에 대한 비판적 시각을 함양할 수 있을 것입니다.

Photo by Steve Johnson on Unsplash

감시 시스템의 기술적 실체와 조사 과정

이번 조사의 핵심은 Shodan, CT 로그, DNS, HTTP 헤더 등 공개된 정보만을 활용하여 Shodan, CT 로그, DNS, HTTP 헤더 등 공개 자료만을 이용해 분석을 수행했다는 점입니다. 이는 불법적인 침입이나 해킹 없이, 외부에서 접근 가능한 데이터를 통해 시스템의 윤곽을 파악했다는 점에서 신뢰성을 더합니다. 조사 결과, ‘openai-watchlistdb.withpersona.com’과 같은 OpenAI 관련 하위 도메인이 Google Cloud(Kansas City)에 위치한 서버에서 독립적으로 운영되고 있음이 밝혀졌습니다. 주목할 점은 이 서버가 Cloudflare의 보호 없이 독립적으로 작동하며, 인증서 투명성 로그에 따르면 2023년 11월부터 2년 이상 가동되고 있다는 사실입니다. 이는 OpenAI의 사용자 인증 과정이 Persona의 인프라를 통해 이루어지며, 이 과정에서 얼굴 이미지, 신분증, 생체 정보, 위치 정보 등이 수집 및 저장될 수 있음을 시사합니다.

Persona는 샌프란시스코에 기반을 둔 신원 인증 기업으로, 일반적으로는 Cloudflare 뒤에서 운영됩니다. 하지만 OpenAI와 관련된 ‘watchlistdb’ 인스턴스가 별도의 GCP 서버에서 독립적으로 운영되는 것은, 고위험 데이터를 일반 서비스와 분리하여 전용 인프라에서 관리하려는 목적이 있을 수 있음을 나타냅니다. 이는 헬스케어 분야에서도 개인의 민감한 건강 정보가 이러한 분리된 인프라에서 관리될 가능성을 시사하며, 데이터 보안 및 프라이버시 강화의 필요성을 강조합니다.

Photo by Igor Omilaev on Unsplash

Persona의 정부 연계와 감시 기능

Persona의 정부용 플랫폼인 ‘withpersona-gov.com’은 더욱 심각한 윤리적, 법적 문제를 제기합니다. 이 플랫폼은 FinCEN(미 재무부 금융범죄단속국) 및 FINTRAC(캐나다 금융정보분석센터)에 직접 보고서를 제출할 수 있는 기능을 포함하고 있으며, 이는 신원 정보가 단순 인증을 넘어 금융 범죄 추적 및 보고와 같은 국가 안보 관련 활동에 연계될 수 있음을 의미합니다. 이 플랫폼은 FedRAMP 인증(2025년 10월 예정)을 받았으며, 얼굴 인식, 금융 데이터 위젯, 실시간 사용자 모니터링 등의 기능을 제공합니다.

코드 분석 결과, ‘onyx.withpersona-gov.com’이라는 새로운 서브도메인이 발견되었는데, 이는 ICE(미 이민세관단속국)가 사용하는 Fivecast ONYX 감시 도구와 동일한 이름을 사용합니다. 비록 직접적인 코드 연관성은 없다고 주장되지만, 명칭과 인프라의 유사성은 정부 기관의 감시 활동과의 연관성을 강하게 시사합니다. 공개된 TypeScript 소스맵에는 SAR(의심 활동 보고)/STR(의심 거래 보고) 보고, 얼굴 데이터베이스, PEP(정치적 노출 인물) 얼굴 비교, 암호화폐 주소 감시 기능 등이 포함되어 있으며, 269개 검증 항목과 13종의 추적 리스트가 정의되어 있습니다.

이러한 기능들은 헬스케어 분야에서 환자의 진료 기록, 처방 정보, 유전체 데이터 등이 잠재적으로 이러한 감시 시스템에 활용될 수 있다는 끔찍한 상상을 불러일으킵니다. 만약 환자의 동의 없이 의료 정보가 금융 범죄나 정치적 성향 분석에 사용된다면, 이는 환자의 기본적인 권리를 침해하는 행위가 될 것입니다.

Photo by Markus Winkler on Unsplash

주요 기능과 데이터 흐름: 헬스케어에 미치는 함의

‘watchlistdb’ 시스템의 주요 기능들은 헬스케어 데이터를 어떻게 잠재적으로 악용할 수 있는지에 대한 명확한 그림을 보여줍니다. SAR(의심 활동 보고) 기능은 FinCEN에 직접 보고될 수 있으며, 이는 환자의 의료 기록이나 처방 정보가 특정 '의심 활동'으로 간주될 경우 정부 기관에 제출될 수 있음을 의미합니다. STR(의심 거래 보고) 역시 마찬가지입니다.

특히 우려되는 것은 얼굴 데이터베이스 기능입니다. 최대 3년까지 보관되는 셀피 데이터는 환자의 동의 없이 의료 기록과 결합되어 관리될 수 있습니다. 또한, PEP(정치적 노출 인물) 얼굴 비교 기능은 환자나 의료진이 정치적으로 민감한 인물과 유사성이 있다는 이유로 잠재적 감시 대상이 될 수 있음을 시사합니다.

더욱이, Chainalysis와의 연동을 통한 암호화폐 주소 위험도 평가 및 지속 모니터링 기능은, 환자의 금융 거래 기록이 의료 서비스 이용과 연관되어 감시될 가능성을 열어둡니다. 예를 들어, 특정 의료 서비스를 이용하면서 암호화폐를 사용하는 환자는 잠재적으로 위험 인물로 분류될 수 있습니다.

OpenAI와의 연동을 통한 AI Copilot(AskAI) 기능은 정부 플랫폼 내 운영자들의 업무 지원용 채팅 도우미로 사용되지만, 이는 수집된 방대한 개인 정보가 AI 모델 학습에 활용될 수 있다는 것을 의미합니다. 헬스케어 분야에서는 환자의 의료 상담 기록이나 진료 후기가 이러한 AI 모델의 학습 데이터로 사용될 수 있으며, 이는 환자의 프라이버시 침해로 이어질 수 있습니다.

법적·윤리적 쟁점과 헬스케어의 미래

이 시스템의 존재는 여러 법적 및 윤리적 쟁점을 야기합니다. OpenAI의 사용자 인증 정책 도입(2025년 예정) 이전에 이미 watchlist 인프라가 가동되었다는 사실은, 사전에 충분한 고지나 동의 없이 개인 정보가 수집 및 관리되고 있음을 시사합니다. 또한, 바이오메트릭 데이터의 보관 기간이 OpenAI가 밝힌 1년과 달리 코드상 3년으로 명시된 것은 데이터 보존 정책의 불투명성을 드러냅니다.

일리노이주의 BIPA(생체정보보호법) 위반 가능성도 제기됩니다. 이 법은 개인의 동의 없이 생체 정보를 수집, 사용, 보관, 파기하는 것을 엄격히 규제합니다. 우크라이나 차단 정책과 같은 특정 국가에 대한 차단은 법적 제재 대상이 아님에도 포함되어 있어, 사용자들은 명확한 거절 사유나 이의 제기 절차 없이 접근이 차단될 수 있습니다. 이는 헬스케어 분야에서도 환자의 국적이나 정치적 성향에 따라 의료 서비스 접근에 차별이 발생할 수 있음을 의미합니다.

가장 근본적인 문제는 동일한 Persona의 코드베이스가 민간 AI 서비스(OpenAI)와 정부 감시·금융 보고 시스템 모두에서 사용되고 있다는 점입니다. 이는 AI 서비스 이용과 국가 감시 체계의 경계가 모호해진 상황을 보여주며, 헬스케어 분야에서도 환자의 편의를 위해 도입된 AI 서비스가 결국 국가 감시 시스템과 기술적으로 연결될 수 있는 구조적 위험을 내포하고 있습니다.

AI 진단, 보조 도구에서 핵심 인프라로

이 사건은 헬스케어 분야에서 AI의 역할이 단순한 진단 보조 도구를 넘어, 환자 데이터 관리 및 국가 감시 체계와 연결될 수 있는 핵심 인프라로 확장될 가능성을 시사합니다. Persona와 OpenAI에 대한 공식적인 답변 요구와 후속 공개 예정은 이러한 문제에 대한 사회적 관심을 환기시키고, 투명성과 책임성을 강화해야 할 필요성을 강조합니다.

향후 헬스케어 AI는 다음과 같은 방향으로 발전해야 할 것입니다. 첫째, 강력한 데이터 보호 및 익명화 기술이 필수적입니다. 환자의 민감한 의료 정보는 암호화, 비식별화 등 최고 수준의 보안 조치를 통해 보호되어야 합니다. 둘째, 엄격한 규제 및 감사 체계가 필요합니다. AI 기반 헬스케어 시스템은 독립적인 기관에 의해 정기적으로 감사받고, 법적·윤리적 기준을 준수해야 합니다. 셋째, 환자의 정보 주권 강화가 이루어져야 합니다. 환자는 자신의 의료 데이터가 어떻게 수집, 사용, 저장되는지에 대한 완전한 정보와 통제권을 가져야 합니다.

결론적으로, 헬스케어 AI의 미래는 기술 발전의 속도만큼이나 개인 정보 보호와 윤리적 사용에 대한 사회적 합의와 제도적 장치 마련에 달려 있습니다. 편리함만을 추구하다가는 예상치 못한 감시와 통제의 덫에 빠질 수 있으며, 이는 환자의 건강권을 심각하게 위협할 수 있습니다. AI의 혜택을 온전히 누리면서도 개인의 존엄성과 프라이버시를 지키기 위한 지속적인 노력이 필요합니다.

⚠️ 의학적 주의사항

본 콘텐츠는 정보 제공 목적으로 작성되었으며, 의학적 조언이나 진단으로 간주될 수 없습니다. 특정 질환이나 건강 문제에 대한 판단은 반드시 전문 의료인과 상담하시기 바랍니다.

원문 참고: https://news.hada.io/topic?id=26984