너도 나도 침 흘리는 개인 유전자 정보, 관리 기준도 없다
[인터뷰] 고학수 서울대학교 법학전문대학원 교수
지난 5월 미국 연방수사국(FBI)은 미제 사건 가운데 하나인 '골든 스테이트 킬러'의 범인을 30여 년 만에 극적으로 검거했다.
1970~80년대 12명 살해, 50명 강간 등으로 캘리포니아 일대를 공포로 몰아넣었지만, 범인을 특정하지 못해 미제로 남은 사건이 반전을 맞은 건 '유전자(DNA) 족보 사이트'가 활성화되면서다. 해당 사이트는 일반인이 유전자 샘플을 통해 자신의 가계도를 찾을 수 있는 커뮤니티. 경찰은 범인의 유전자 정보를 올려 유사한 유전자를 지닌 먼 친척을 찾아냈고, 가계도를 추적해 범인 검거에 성공했다.
30년간 특정하지도 못한 범인을 잡을 만큼 유전자의 힘은 강력하다. 유전자 분석 기술 발전과 더불어 유전자 DTC(개인이 민간 유전자 검사 업체에 유전자 분석을 직접 의뢰하는 것) 시장이 열리면서 유전자 활용도는 나날이 높아지고 있다. 미국 23andMe 등 민간 기업이 유전자 분석 시장에 뛰어든 이유다. 한국도 2016년 처음으로 DTC를 허용하고 나서 민간 업체의 유전자 검사 항목을 확대하기 위한 논의를 이어가고 있다.
병원 등 의료 기관뿐 아니라 유전체 분석 기업 등 비의료 기관까지 앞다퉈 유전자 정보 확보에 나섰지만, 정작 유전자 정보의 관리나 활용 절차 등 '유전자 프라이버시'에 대한 논의는 전무하다는 게 고학수 서울대 법학전문대학원 교수의 지적이다. 의료 정보 정책 자문위원회 위원이기도 한 고 교수는 일찍이 유전자 프라이버시 논의의 필요성을 강조해왔다. 대통령 직속 4차 산업혁명 위원회가 주관한 개인 정보 보호와 활용 방안 해커톤에 참여해 합의안을 이끌어내기도 했다.
고학수 교수는 '코메디닷컴'과의 인터뷰를 통해 유전자 정보가 의료 정보 중에서도 민감한 정보인 만큼 일반 개인 정보와는 다르게 접근해야 한다고 주장했다. 다음은 고 교수와의 일문일답.
정당하지 않은 차별? 한국은 기준조차 없어
- 유전자 정보는 일반 개인 정보, 나아가 의료 정보와도 다른 특수성이 있다고 여겨지는데.
"유전자 정보는 태어나면서부터 부여되고 나서 죽을 때까지 거의 변하지 않는다. 일부만 추출해도 개인의 건강과 관련된 특징을 파악할 수 있다. 그런 정보가 규제 없이 돌아다녀 누구나 조금만 노력해도 유전자 정보로 특정 개인을 파악할 수 있다면 어떤 부작용이 생길지 모른다. 특히 지난 몇 년 사이 저렴하게 유전자를 분석할 수 있는 개인 유전자 검사(DTC)가 활성화되면서 맞춤형 케어가 가능해진 동시에 차별의 근거가 될 여지도 생겼다. 양날의 검인 셈이다.
게다가 유전자 분석이라는 건 '당신이 A라는 병에 걸린다'가 아니라 '걸릴 확률이 높다'라는 건데, 특정 개인이 속한 그룹의 확률이 높은 것과 정말 그 개인이 그렇게 될 것이라는 건 좀 다른 얘기다. 또 유전적 영향력이 매우 높은 몇 가지 유전자 이외엔 환경이 미치는 영향력도 큰데, 아직까진 유전과 환경이 미치는 영향력은 명확히 규명되지 않았다."
- 유전자 정보의 유출, 남용 등으로 생길 수 있는 사회적인 논란은?
"쉽게 말해 유전자 정보를 통한 '차별'이다. 예를 들어 소비자가 민간 보험에 가입할 때 보험사가 유전자 검사 결과를 요구하고, 유전적 질병이 나타날 가능성이 높은 소비자는 보험 가입을 거부한다면? 혹은 입사 시 기업이 유전자 검사를 통해 질병에 걸릴 가능성이 높은 지원자는 배제한다면? 물론 산업계는 너무 큰 비약이라고 주장하겠지만, 포인트는 유전자 정보로 인한 '정당하지 않은 차별'이 일어나지 않기 위해선 누가 정보를 보유하고 있고 어떤 용도로 쓰고 있는지를 당연히 파악하고 있어야 한다는 것이다."
- 정당하지 않은 차별과 관련해 미국은 유전자 정보 차별 금지법(GINA)을 제정했다. 한국도 생명윤리법에 유전자 정보로 인한 차별은 금지한다고 명시하고 있지만, 정당하지 않은 차별이나 낙인이 무엇인지, 예외는 뭔지 등에 대한 기준이 없다. 어느 선부터 차별과 낙인으로 볼 것인지에 대한 논의가 필요하다고 보나.
"골든 스테이트 킬러 사건이 미국에서도 논란이 됐었다. 누군가는 범죄자를 잡아서 다행이라고 생각할 수도 있고, 범죄자를 떠나 유전자 정보만 있으면 먼 친척을 통해 개인을 특정할 수 있다는 것에 경악할 수도 있다. 중요한 건 그런 상황을 우리가 받아들일 것인지 아닐지에 대한 사회적 논의가 전제돼야 한다. 차별도 마찬가지다. 정보로 인한 정당하지 않은 차별이 무엇인지에 대한 합의가 필요하다. 그래야 어디까지 유전자 정보를 활용할 수 있고, 어느 선부터는 안 되는지에 대한 기준이 세워진다.
그런 주장을 해커톤뿐만 아니라 기회가 있을 때마다 얘기했지만 공론화되지 못했다. 대부분 한 귀로 듣고 한 귀로 흘린다. 시민단체와 기업 혹은 병원 간 입장이 첨예할뿐더러 정부 부처 간 이해관계도 달라 합의를 이룰 가능성이 낮다고 생각하기 때문이다. 서로 다른 생각을 이해하면서 바람직한 방향이 뭔지에 대한 답을 찾는 것이 한국 사회에선 너무 어려운 일이라는 걸 느꼈다. 지금은 유전자 분석이 크게 활발하지 않아 큰 문제가 드러나지 않지만, 기술 발전의 추세와 제도 방향으로 볼 때 몇 년 후엔 심각한 논란이 생길 것이다."
- 특히 유전자 정보는 나뿐만 아니라 부모, 자식 등 가족들과도 공유한다는 점에서 유출시 더 큰 피해가 생길 수 있다. 어떻게 해결할 수 있을까?
"그룹 프라이버시 문제가 있다. 나에 관한 유전자 정보는 가족과도 연결되기 때문에 내가 특정 질병에 걸릴 가능성이 높으면 가족도 비슷하게 높다는 걸 알 수 있다. 따라서 개인의 유전자 정보가 남용될 시 나에 대한 불이익으로 그치는 것이 아니라 가족에 대한 불이익으로도 이어질 수 있다. 단순히 개인 동의만 받는다고 해결될 수 없는 문제고, 지금으로선 쉬운 답이 없다. 기술적인 방법론을 지속적으로 개발하는 한편, 정보에 대한 열람 절차나 관리 등에 대한 세부적이고 현실적인 통제 방법을 마련하는 것이 중요하다. 그렇게 정당한 활용에 대한 제약은 최소화하면서, 정보가 함부로 유출되거나 다른 유형의 정보와 무분별하게 결합될 수 있는 가능성을 차단하는 것이 필요하다."
보호-활용 두 마리 토끼 놓친 한국, "영국 사례 참고해야"
현재 한국은 생명윤리법, 개인 정보 보호법 등으로 유전자 정보 활용에 관해 규정하고 있지만, 불명확한 규정 탓에 개정이 필요하다는 목소리가 높다. 2016년 의료를 포함한 개인 정보를 연구 목적으로 쓸 수 있도록 한 ‘개인 정보 비식별 조치 가이드라인’마저도 비정형 데이터에 대한 비식별 기준이 없어 현장에서의 활용도는 매우 낮다. 법의 애매모호함 때문에 보호와 활용 두 마리 토끼를 모두 놓치고 있는 실정이라는 것.
- 유전자 정보를 포함해 의료 정보의 안전한 활용과 관련한 법이 불명확하다는 지적이 많다. 실제로 법이 현장에서 제대로 적용되지 못하고 있는지?
"2016년 제정된 가이드라인은 의료 정보의 비식별 처리를 사회보장정보원이라는 곳에서 외부 전문가를 구성해 검증할 수 있도록 했는데, 2년간 실적이 거의 없는 수준이다. 검증할 전문가 풀도 너무 부족하다. 그나마 대형 기관은 나름의 방식을 구축했지만, 대다수는 눈치만 보고 있다. 일부는 마구잡이로 하기도 한다. 심지어 주민등록번호만 가리고 비식별 조치를 했다고 여기는 경우도 있다.
더 큰 문제는 현장에서 현재 법마저도 제대로 지켜지지 않는다는 점이다. 기관윤리심의위원회(IRB)가 보건의료 연구를 심의하게 되어 있는데, 주로 어떤 지원을 받고, 연구로 인해 문제가 발생할 소지는 없는지 정도를 중점적으로 본다. 비식별화 조치나 관리 등은 대한 검증은 거의 없는 것이다. 그러니까 다들 IRB만 통과하면 그 뒤(정보의 관리)는 신경 쓰지 않는다."
- 4차 산업혁명 위원회 해커톤에서 개인 정보 보호와 활용 방안에 대한 합의안을 마련했다. 합의안을 유전자 정보에도 적용할 수 있을까?
"사실 해커톤에서 의료 정보, 유전자 정보 등 구체적인 사안에 대해서는 논의되지 못했다. 해커톤에서 논의된 비식별 문제는 숫자나 텍스트 유형같이 정형화된 데이터를 암묵적으로 전제하고 있다. 따라서 유형과 구조가 다른 의료나 유전자 정보에 대해선 적합하지 않다. 유전자 정보 비식별화의 정의도 되어 있지 않다. 수십억 개 염기 서열이 쭉 나열돼 있는데 그중 몇십 개만 갖고도 한 명을 특정할 수 있으니 일부를 가리는 게 의미가 없을 것이다. 그렇다고 배열을 섞으면 데이터 자체가 바뀔 수 있다. 따라서 유전자 정보에 대한 특별한 규정이 필요하다고 본다."
- 유전자 정보, 나아가 의료 정보를 제대로 보호하면서도 연구에 활발하게 쓰이도록 하는 일이 가능할까?
"그런 면에서 영국이 꽤 잘하고 있다. 영국 국가보건서비스(NHS)가 구글 딥마인드에 의료 정보를 연구에 쓸 수 있도록 했을 때 맺은 계약서가 수십 페이지에 달한다. 이 정도로 계약을 맺는다면 믿을 만하겠다 싶은 내용이다. 예를 들어 외부 검증위원회가 언제든지 확인할 수 있고, 데이터를 어떤 용도로 쓰고 있는지 활동 내역과 로그 기록 등이 NHS에 지속적으로 보고된다. 데이터를 볼 수 있는 사람의 명단과 직위가 표시되고 개별적으로 아이디를 부여받는다. 보통 한 팀이 대표로 아이디를 받아 돌려쓰는 한국과는 다르다. 이렇게 영국의 의료 정보 관리는 현장에서 상당한 차이를 보인다."
- 유전자 정보 보호와 활용을 논의한다면, 어떤 부분에 집중해야 한다고 보는지?
"기본적으로 현장에서 실제로 적용될 수 있는 구체적인 관리 방안을 만드는 것이 시급하다. 따라서 유전자 정보를 포함한 개인 의료 정보에 대해 IRB에서 하는 것과는 별개로 정보 처리의 절차와 관리를 지속적으로 할 수 있는 심의위원회를 구성하는 것이 필요하다. 그렇게 부작용을 최소화할 안전장치를 마련하고, 그 안에서 자유롭게 활용할 수 있도록 하는 방향으로 나아가야 한다고 본다."
[사진=isak55/shutterstock]