환자들에게 알리지 않고 환자들의 정보를 사용하는 데에는 분명한 한계가 정해져 있지만 굿알엑스는 이를 미처 알지 못했다. 그럼에도 굿알엑스는 결백함을 주장하고 있다. 업계에서 늘 하던 대로 했을 뿐이라는 것이다. 그 ‘하던 대로’가 더 이상 변명이 될 수 없다는 것을 모르는 듯하다.

[보안뉴스 문정후 기자] 지난 2월 1일, 미국 연방거래위원회(FTC)는 약품 및 텔레헬스 제공 업체인 굿알엑스(GoodRX)에 150만 달러의 벌금형을 내리려 한다고 발표했다. 굿알엑스는 ‘건강침해고지 규정(HBNR)’을 어긴 혐의를 받고 있으며, FTC의 제안에 동의하는 것으로 알려져 있다. 150만 달러 벌금형을 확정하는 건 연방 법원이다.


굿알엑스는 환자들의 처방전을 바탕으로 가장 좋은 가격에 약을 구매할 수 있도록 해 주는 서비스다. 그런데 이 처방전에 나와 있는 민감한 개인정보를 광고 회사 및 광고 플랫폼들과 공유했다가 FTC에 적발됐다. 굿알엑스 측은 “연방거래위원회의 주장에 동의하지 않으며, 저희는 합법적인 선 안에서 사업 행위를 해 왔다”는 입장을 유지하고 있지만 “법정 공방으로 소모되는 시간과 자원을 아끼기 위해 FTC가 제안한 합의 내용에 따르기로 했다”고 발표했다.

HBNR에 의하면 의료 분야의 기업들은 개인의 건강 관련 기록들을 부적절하게 공유했을 경우 당사자들(정보의 주체)에게 반드시 알려야 한다. FTC는 이러한 의무를 굿알엑스가 충족해내지 못했다고 주장하고 있고, HBNR은 법적으로 문제될 것이 없다는 입장이라고 할 수 있다.

FTC는 벌금 외에도 여러 가지 조치를 취할 예정이다.
1) 굿알엑스가 사용자의 데이터 공유 동의를 억지로 혹은 교묘하게 구하지 못하도록 한다.
2) 굿알엑스가 사용자의 개인 및 건강 정보를 저장하는 기간에 제한을 둔다.
3) 굿알엑스가 서드파티를 통해 사용자 개인 및 건강 정보를 삭제하도록 한다.

사실 FTC는 굿알엑스를 2019년부터 지켜봐 온 것으로 보인다. 당시 굿알엑스는 심장병 및 혈압 관련 약품을 구매한 환자들의 이메일 주소와 전화번호 등을 페이스북에 올리고, 이를 광고 회사에 판매한 전적을 가지고 있다. 이에 대해서도 FTC가 일찌감치 경고한 바 있다. 굿알엑스는 “당시 모든 의료 회사들이 다 하던 사업 행위였고, 합법적인 것이라고 알고 있었다”며 “경고를 받고 즉시 모든 것을 시정했다”는 입장이다.

HBNR과 데이터 프라이버시
이번 사건에서 FTC가 하는 주장은 “굿알엑스가 HBNR을 위반했다”는 것이다. 고객들에게 정보 처리 현황을 정확하게 공개하지 않았기 때문이다. “굿알엑스는 개인 식별이 가능한 건강 정보를 브랜치(Branch), 크리테오(Criteo), 페이스북(Facebook), 구글(Google), 트윌리오(Twilio)와 같은 업체들에 판매했습니다. 고객에게는 알리지 않았습니다.”

디지털 건강 및 생명 과학 분야 출판사인 메디지이노베이션네트워크(Medigy Innovation Network)의 샤히드 샤(Shahid Shah)는 “HBNR이 이번 고소의 근거가 된 것은 꽤나 흥미로운 일”이라며 “HBNR을 근거로 벌금형이 내려진 건 처음 있는 일”이라고 말한다. “이 사건은 의료 분야 업체들에게 꽤나 큰 경고가 될 수 있습니다. HBNR이 실질적인 벌로 이어질 수 있는 규정이라는 걸 처음 깨닫게 된 것이죠.”

그러면서 샤는 “굿알엑스의 주장처럼 광고 업체와 의학 분야가 늘상 그런 식으로 사업을 해왔을 수 있고, 일종의 관행이었을 가능성이 높다”고 설명한다. “그리고 그 점을 FTC가 HBNR이라는 규정을 가지고 공략한 것이죠. 보통 공공 기관들은 법문의 해석 범위를 넓게 가져가려 하지 않습니다. 역풍의 위험이 있기 때문이죠. 그래서 법문에 나온 그대로의 범위 안에서만 활동을 하는데, 그렇기 때문에 진짜 고쳐져야 할 부분들이 고쳐지지 않은 채 사각지대로 몰리게 됩니다. 이번에 FTC가 꽤나 과감히 움직이며 건강한 선례를 만들었다고 생각합니다.”

또한 해커들의 소행이 아니라 광고 회사들과의 거래 행위를 두고 “데이터 침해”라고 명명한 것 역시 주목할 만한 부분이라고 샤는 짚는다. “데이터 침해 사고라는 용어는 해커의 개입이라는 뉘앙스가 물씬 풍기는 게 보통이었습니다. 대부분 기업들이 침해 사고를 방지한다고 하면 해커의 공격을 예방하는 방향에서 대비를 하죠. 하지만 이번 사건을 통해 광고 회사와의 관계도 같이 ‘데이터 침해의 요소’로서 고려할 수밖에 없게 됐습니다.”

의료 분야의 데이터 프라이버시
이번 사건을 계기로 FTC가 더 강력하게 기업들을 압박할 수 있다고 샤는 내다보고 있다. “데이터 프라이버시에 대해 보다 넓은 관점에서, 다각도로 생각할 수밖에 없게 됐습니다. 당장은 의료 분야의 기업들이 특히 그렇지만, 그 범위가 확대될 가능성이 매우 높다고 생각합니다. 이번이 첫 사건이라는 걸 감안하면 벌금 액수도 더 높아질 수 있다고 봅니다.”

결국 각 조직의 IT 담당자들은 데이터에 대한 모든 것을 면밀히 알고 있어야 한다. 민감한 데이터가 어느 정도로 수집되고 있고, 어떤 식으로 활용되며, 얼마나 보관되고 어떤 절차로 삭제되는지 등 처음부터 끝까지 꿰고 있지 않으면 갑자기 누군가 데이터 침해에 대한 책임을 져야 한다고 주장할 때 당할 수밖에 없게 된다. “데이터 관리라는 것에 좀 더 많은 정성을 쏟고, 보다 전략적인 접근을 해야 할 시기입니다. 과거에 했던 그대로 했다가는 큰일이 날 수 있습니다.”

글 : 브라이언 호로위츠(Brian T. Horowitz), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>