USC Price School은 \"의사들이 ChatGPT를 쓰며 *모르고* HIPAA를 위반하고 있다\"고 발표했다. 한국에서는 의료법 제19조(정보 누설 금지)·제21조(진료기록 관리)와 형법 제317조(업무상 비밀 누설, *3년 이하 징역*)이 동시에 적용된다. 그런데 *어느 한국 의사도 진료실에서 ChatGPT나 Claude를 쓰면 이 법을 어디서부터 위반하는지 모른다.* HIPAA·MMG Fusion 사례·한국 의료법·식약처 2026 가이드라인·환자 동의서 양식·Malpractice 14% 증가까지 — 의료편 4편. *변호사 4편*에 정확히 대응하는, 의료 AI 시대의 *조용한 위험* 완전 해부.
서울 강남, 30대 가정의학과 전문의 박의사. 화요일 오후 3시. 진료실.
55세 여성 환자가 들어와 3가지 증상을 호소한다 — 피로감·체중 감소·갈증. 박의사는 머릿속에서 당뇨·갑상선·암을 의심하지만, 환자에게 가능한 진단을 종합적으로 설명해야 한다.
그가 진료 기록 시스템(EMR)에 환자 정보를 빠르게 입력한 뒤, 옆의 다른 모니터에서 ChatGPT를 연다. 그리고 입력한다:
"55세 여성, 피로감 6개월, 체중 5kg 감소, 다음·다뇨 동반. HbA1c 8.2, TSH 0.4, ALT 정상. 가장 가능성 높은 진단과 추가 검사 우선순위 알려줘."
ChatGPT가 2초 만에 깔끔한 답변을 준다. 박의사는 그걸 참고해 환자에게 진단 가능성과 추가 검사를 설명한다. 15분의 진료가 끝난다. 환자는 고맙다는 인사와 함께 진료실을 나간다.
박의사는 — 방금, 자기도 모르게, 4개의 법을 위반했다.
미국 USC Price School은 2024년 *"의사들이 ChatGPT를 쓰며 *모르고 HIPAA를 위반하고 있다"는 보고서를 발표했다. 한국에는 — 더 엄격한 법이 있다.
박의사는 진단 도움을 받으려던 것뿐이었다. 그러나 공개 ChatGPT에 환자 식별 가능한 정보를 입력하는 순간 — 위 4개 법의 위반 구성요건이 동시에 발생한다.
이게 Mata v. Avianca(변호사 환각 사고)와 다른 조용한 위험이다. 변호사 사고는 법정에서 폭발했지만 — 의사의 사고는 환자가 알지 못한 채 누적된다. 그리고 5년 뒤, 한 명의 환자 정보가 어딘가에 노출되면 — 진료 기록 전체가 소급해서 위법 노출이 된다.
이 글은 — Mata 이후의 진짜 위험(변호사 4편)을 의료 영역에 정확히 대응시킨다. 의료편 시리즈 4편. 이 글이 끝날 때까지 — 한국의 모든 의사·의료인이 진료실에서 AI를 안전하게 쓰는 방법을 명확히 안다.
본 글은 코어닷투데이 Claude for Healthcare 시리즈 3편이다. ① Claude for Healthcare 완전 해부, ② 의료 AI 대전 2026에 이은 의료 윤리·법규 심층. 변호사 시리즈 4편에 정확히 대응한다.
먼저 한국법이 의사에게 부과하는 비밀유지의무를 정확히 정리하자. AI 시대의 모든 의료 윤리 이슈가 여기서 시작된다.
한국에서 의사·치과의사·한의사·간호사·약사 등 의료인은 — 4개의 법이 동시에 비밀유지의무를 부과한다.
| 법 | 조문 요지 | 처벌 |
|---|---|---|
| 의료법 제19조 | 의료인이 업무 중 알게 된 *다른 사람의 정보*를 누설·발표 금지 | 3년 이하 징역 / 3천만 원 이하 벌금 + 면허정지 1년 |
| 의료법 제21조 | 환자 외 *제3자*에게 *진료기록 열람·사본 제공 금지* | 의료법 위반 + 별도 행정 처분 |
| 형법 제317조 | 의사 등이 *업무 처리 중 지득한 타인의 비밀* 누설 | 3년 이하 징역·금고 / 10년 이하 자격정지 / 700만 원 이하 벌금 |
| 개인정보보호법 | 의료기록은 *민감정보* — 별도 동의 + 안전조치 의무 | 5년 이하 징역 / 5천만 원 이하 벌금 |
이 4개 법은 — 동시 적용된다. 한 번의 위반으로 4개 법 위반이 동시 성립할 수 있다.
① 사망한 환자도 포함 — 의료법 제19조의 "다른 사람"에는 이미 사망한 사람도 포함된다(대법원). 의사가 "환자가 사망했으니 정보를 써도 된다"는 오해가 가장 위험하다.
② "다른 사람"의 범위가 환자뿐 아니라 모두 — 환자뿐 아니라 환자 가족·동료·관계자에 관한 정보도 포함. 의사가 진료 중 들은 모든 사람의 정보가 보호 대상.
③ "비밀"의 범위 — 신체·사회·경제·심리 — 단순히 진단명뿐 아니라 — 환자의 직업·재산·가족 관계·종교·성적 지향 등 진료 중 알게 된 모든 사적 정보.
④ 동의가 있어도 안 되는 경우 — 환자 본인의 동의만으로 공개되더라도 — 과실로 추가 정보가 노출되면 책임.
의료 정보는 법조 시스템의 핵심이다. 환자가 모든 사실을 솔직하게 의사에게 말할 수 있어야 — 의사가 최선의 진단·치료를 줄 수 있다. 만약 환자가 "이 정보가 노출될 수 있다"고 두려워하면, 그는 진실을 숨기고 — 결국 자기 건강에 불리한 진료를 받는다.
"의료 비밀이 깨지는 순간, 의료 시스템 자체의 신뢰가 무너진다."
— 히포크라테스 선서, "내가 진료 중 보고 들은 것, 또는 진료 외에서 인간의 삶에 관해 알게 된 것이 외부에 알려져서는 안 되는 것이면 절대 비밀로 한다"
이게 왜 의사의 AI 사용이 위험한가의 핵심 이유다.
미국의 Health Insurance Portability and Accountability Act (1996)는 — 전 세계 의료 정보 보호의 표준이다. 한국법과 비교하자.
표면적 금전 처벌은 HIPAA가 크다. 그러나 한국이 더 위험하다는 결정적 이유가 있다.
핵심: 한국은 형사 처벌 + 자격 정지가 우선이다. HIPAA 위반은 금전 배상으로 끝나지만 — 한국 의사가 의료법 19조·형법 317조 위반으로 면허 정지되면 — 생업 자체가 무너진다. 게다가 형사 기록은 영구적이다. 벌금 700만 원이 무서운 게 아니다 — 의사 자격 1년 정지가 더 무섭다.
두 법 모두 — 공개 AI(ChatGPT·Claude의 무료/개인 계정 등)에 환자 정보를 입력하는 행위는 명백한 위반이다.
이게 USC Price School이 경고한 "의사들이 자기도 모르게 HIPAA를 위반"하는 메커니즘이다.
2024년 USC Price School은 — 의사들의 무의식적 HIPAA 위반에 관한 보고서를 발표했다. 핵심:
"대부분의 공개 AI 도구(ChatGPT·Google Gemini 등)는 BAA에 서명하지 않으며 HIPAA 표준을 충족하지 못한다. 의사가 환자 기록·진단 영상·임상 노트를 비호환 AI 도구에 업로드해 분석·도움을 요청할 때 — 그는 비인가 PHI 공개를 만든다."
이 보고서는 DEV Community의 후속 분석에서 충격적 발견으로 확장됐다 — "50개 이상의 기업이 ChatGPT로 자기도 모르게 HIPAA를 위반" 중이라는 추적 보고.
미국 HHS OCR(Office for Civil Rights)이 2026년 3월 발표한 MMG Fusion 합의.
소액 합의지만 — AI 관련 OCR 집행이 시작됐다는 결정적 신호다.
같은 해 4월 23일, OCR은 4개 합의를 한 번에 발표했다. 총 $1.1M+ 벌금. 두 가지 공통 원인:
OCR의 명확한 메시지: "AI 도구를 쓰든 안 쓰든 — 체계적 위험 분석이 없으면 처벌한다."
OpenAI가 2026년 1월 출시한 ChatGPT Health는 — 개인용이다. 소비자 약관으로 작동.
"ChatGPT Health는 향상된 개인정보 보호와 입력을 알고리즘 학습에 사용하지 않는 정책을 갖고 있다. 그러나 HIPAA 표준이 아닌 소비자 등급 약관에 따라 운영된다."
핵심: ChatGPT Health도 의사의 진료용으로는 부적합하다. 환자 본인이 자기 정보를 입력하는 것은 가능하지만 — 의사가 환자 정보를 입력하면 여전히 HIPAA 위반.
이제 한국 의사의 실제 진료실 상황에 적용해 보자. 가장 흔한 5가지 위반 시나리오다.
모든 시나리오에서 의사 본인은 모르고 위반한다. ChatGPT에 환자 정보를 입력하는 의사는 — 나쁜 의도가 없다. 환자에게 더 좋은 진료를 하고 싶었을 뿐이다. 그러나 — 법은 의도를 묻지 않는다. 결과적 위반이면 처벌이다.
이게 왜 한국 의료계에 명확한 가이드라인이 필요한지의 가장 큰 이유다.
대한의사협회(KMA)는 — AI 의료 진료 활용에 명확하게 반대 입장을 견지해 왔다.
"과학적·임상적 근거 부족 + 안전 인증·책임 보험 체계 미정 + 알고리즘 편향·데이터 품질·환자 동의 절차 부적절."
— 대한의사협회, 2024 공식 입장
3가지 핵심 우려:
이는 미국 ABA의 적극적 가이드라인(변호사 4편 참조)과 완전히 다른 자세다. 의협은 AI를 받아들이지 않는 보수적 입장.
의협의 침묵 속에서 — 2026년 보건복지부와 식약처가 공동 발표한 "2026 의료 AI 윤리·책임 가이드라인"이 등장했다.
핵심 4축:
식약처 가이드라인은 시작에 불과하다. 코어닷투데이의 평가:
이 공백을 메우는 것이 이 글의 후반부 목적이다.
변호사 4편의 3중 보호 모델을 의료에 적용하면 — Patient → Physician → Platform의 3단계가 된다.
가장 안쪽 방패. 모든 의료 AI 사용의 시작점.
중간 방패. AI 출력을 반드시 의사가 검토·재구성.
가장 바깥 방패. 공개 AI 절대 금지.
원칙: 3중 보호 중 하나라도 빠지면 — 위험이 시작된다. 모든 의사가 3중 보호를 표준 절차로 갖춰야 한다.
2024년 데이터: AI 도구 관련 Malpractice 클레임이 2022년 대비 14% 증가. 주요 영역:
법학적으로 결정적 흐름:
"2025년 표준 진료(standard of care)가 점점 의사가 AI 도구를 적절히 사용할 줄 알아야 — 그리고 언제 무시해야 하는지 알아야 — 한다는 기대를 포함한다. 법원은 합리적 의사가 AI를 써야 했는가, 그리고 안 쓴 것 자체가 과실인가를 검토하고 있다."
이게 의사의 새 의무다. AI를 쓰지 않아도 책임, 쓰고 결과를 안 검증해도 책임. 어느 방향이든 책임이다.
한국에서 AI 관련 Malpractice 소송은 아직 본격화하지 않았다. 그러나 3가지 신호:
예측: 2027년 한국에서 첫 AI 관련 Malpractice 판결이 나올 것이다. 그 판결이 전국 의사의 AI 사용 표준을 결정한다.
ABA 512와 식약처 가이드라인을 한국법에 맞게 번안한 동의서 양식 예시다. 코어닷투데이가 제안하는 한국 표준 — 자유 사용·수정 가능.
이 동의서 양식은 코어닷투데이가 미국 HIPAA·식약처 2026 가이드라인·한국 의료법·개인정보보호법을 종합해 제안한 비공식 표준안입니다. 실제 사용 전 의료기관·법무팀 검토가 필요하며, 대한의사협회나 보건복지부의 공식 가이드라인 채택 시 그에 맞게 갱신돼야 합니다.
이 모델을 내일 진료실에 적용하는 한국 의사 체크리스트.
□ 병원/의원 AI 사용 정책 수립
□ 사용할 AI 도구를 enterprise tier 또는 자체 시스템으로 계약
□ "데이터 학습에 사용 안 함" 설정 확인 및 문서화
□ DPA(개인정보처리 위탁계약) 검토 완료
□ 책임보험사에 AI 사용 사실 고지·승인
□ 환자 동의서 양식 마련 (8장 참고)
□ 진료 기록에 AI 사용 표시 항목 추가
□ 환자에게 AI 보조 사용 가능성 *구두 설명*
□ *서면 동의* 받음 (진료 기록에 첨부)
□ 사용할 AI 도구·범위 명시
□ 환자의 거부권 고지
□ 거부 시 *동등한 수준의 진료 보장* 명시
□ AI 입력 전 *식별 정보 마스킹* (이름·주민번호·연락처)
□ 진료 핵심 정보만 입력 (불필요한 디테일 배제)
□ AI 출력 전체를 *의사 직접 검토*
□ AI 진단 추천을 *임상 판단으로 검증*
□ 최종 결정은 *의사 책임*으로 EMR 기록
□ AI 사용 사실을 *진료 기록에 명시*
□ 환자에게 *AI 사용 결과 설명* (XAI 원칙)
⚠️ 환자 모르게 AI 사용
⚠️ 공개 AI(ChatGPT 무료판 등)에 식별 정보 입력
⚠️ AI 진단을 검증 없이 채택
⚠️ "Help improve" 옵션 켜진 상태
⚠️ 휴대폰 개인 AI 앱에 환자 정보 입력
⚠️ 사용 후 로그 파기
이 글의 가장 건설적 부분이다. 코어닷투데이가 대한의사협회·보건복지부·식약처에 제안하는 — 의사 AI 사용 가이드라인 5대 원칙이다.
이 5개 원칙은 — 미국 HIPAA + EU AI Act + 한국 식약처 가이드라인의 교집합이다. 거의 모든 선진국이 유사한 방향으로 가는 국제 표준이기도 하다.
이 글의 첫 장면 — 박의사의 화요일 오후 3시 — 를 다시 떠올려 보자.
그가 환자를 더 잘 진료하려고 ChatGPT에 입력한 한 줄. 그 한 줄이 4개 법의 위반 구성요건을 동시에 발생시킨 순간. 환자는 모른다. 의사도 모른다. 사고는 3년 후 어딘가에서 폭발한다.
이게 AI 시대 의료 제도의 새 시험이다.
미국은 HIPAA + ABA 의료 윤리 + Banner Health 같은 검증된 모델로 — 조심스럽지만 명확한 방향을 잡아가고 있다. EU는 AI Act로 고위험 의료 시스템을 강제하고 있다.
한국만 — 대한의사협회의 완강한 반대와 식약처의 시작 단계 가이드라인이 충돌하는 가운데, *각 의사 한 명 한 명이 *자기 진료실에서 매일 가이드라인 없는 위험을 감수**하고 있다.
이 침묵이 깨지지 않는 한 — 언젠가는 한 환자 정보가 외부에 폭발할 것이다. 그 사건이 한국 의료 AI 전체를 5년 뒤로 되돌릴 수 있다.
코어닷투데이는 — 그 폭발이 오지 않게 하는 방법은 대한의사협회·보건복지부·식약처의 통합 가이드라인 채택이라고 본다. 그리고 그 가이드라인의 초안에 — 이 글의 5대 원칙과 환자 동의서 양식이 참고가 되기를 바란다.
지금 당신이 의사·간호사·약사·의료기사라면 — 이 글을 출력해 진료실에 두세요. 적어도, 내 환자의 위험은 내가 책임진다는 첫 걸음을 시작할 수 있을 것이다.
코어닷투데이의 시각 — 이 글에 담긴 환자 동의서 양식과 5대 원칙은 — 어떤 한국 의료기관·의사·간호사·약사이든 자유롭게 가져다 쓰셔도 좋습니다. 저작권을 주장하지 않습니다. 다만 — 대한의사협회·보건복지부·식약처에 부탁드립니다. 한국에서 첫 AI 의료 사고가 폭발하기 전에 — 공식 통합 가이드라인을 채택해 주세요. 환자 한 명, 의사 한 명의 비밀과 안전이 지켜지는 일은 — 의료 제도 전체의 신뢰 그 자체입니다. 그리고 그 신뢰가 무너지면 — AI 시대 의료의 정통성도 무너집니다. 이 글이, 그 무너짐을 막는 첫 벽돌이 되기를.
