우주비행사가 되고 싶은 꿈을 가진 한 아이가 있습니다. 소년은 부모로부터 심장질환을 포함한 각종 질병을 물려받아 예상 수명이 30년 밖에 되지 않습니다. 그런데도 우주비행사가 되기 위해 부단한 열정과 노력을 기울여 본인의 한계를 뛰어넘으며 꿈에 가까워집니다. 그러나 꿈을 이룰 수 있는 마지막 단계에서 열성유전자를 보유했다는 이유로 면접에서 떨어집니다.
우주 비행사가 될 기회는 유전자 조작으로 유전적 질환이 제거된 우성유전자만을 물려받은 ‘우수성이 예측’되는 인간들에게만 주어집니다.
1997년 영화 ‘가타카’는 유전자 열성인자를 제거하고 우성인자만을 조합하여 맞춤형 인간을 탄생시킵니다. 유전자 정보를 근거로 개인을 차별하고 기회를 박탈하는 디스토피아적 미래를 보여줍니다.
상영 당시만 해도 개인 유전자 검사나, 이를 활용한 유전자 조작 또는 유전자 맞춤형 서비스는 조금은 먼 미래의 일이라고 느껴졌었는데요. 최근 우리나라에서도 관련 법규의 개정으로 개인 유전자 서비스 활성화 시대가 성큼 다가오고 있습니다.
2016년 6월 30일 생명윤리 및 안전에 관한 법률 개정으로 탈모, 색소침착, 피부 노화, 피부탄력, 체질량지수, 중성 지방 농도, 콜레스테롤, 혈당, 혈압 등 미용과 건강에 관련된 42개 유전자에 대해 병원을 찾지 않고 개인이 직접 유전자 검사 서비스를 받을 수 있는 DTC(Direct to Customer) 검사가 허용되었습니다.
그동안 과학적 근거가 부족해 국내에서는 금지 또는 제한되었던 질병 관련 유전자 검사 중 일부가 2016년 11월 25일 통과된 ‘생명윤리 및 안전에 관한 법률 시행령 개정안’에 따라 2017년부터 허용됩니다.
오래 전부터 유전자 분석에 대한 법적 기준 완화를 요구해왔던 바이오 업계는 유전자 분석 시장 활성화를 기대하며 쌍수를 들고 환영하고 있는 반면, 대한의사협회를 중심으로 한 의료계에서는 무분별한 유전자 검사로 인한 국민 건강권 침해를 우려하고 있습니다.
의료계에서 우려하고 있는 국민 건강권 침해 문제 외 중요한 이슈가 또 하나 대두되고 있는데요, 바로 유전자 정보에 대한 보안 문제입니다.
유전자 정보는 기업이 가장 탐내는, 일생 동안 변하지 않는 민감한 정보
2002년 미국 철도회사 버링턴 산타페(BNSF)의 철도 수리공들은 회사를 상대로 집단 소송을 제기했습니다. 회사가 고용인을 차별하려는 의도로 동의 없이 유전자 검사를 하였다는 이유였습니다.
철도 수리공들 사이에서 손목터널증후군 사례가 많이 발생하자, 이 질환의 발병 확률이 높은 유전적 소질을 가려내기 위해 몰래 철도 수리공들의 유전자 검사를 한 것이었습니다.
이 소송은 회사가 220만 달러를 배상함으로써 일단락되었지만, 고용주들이 고용비용을 줄이려는 방편으로 유전자 정보를 악용할 수 있다는 우려가 대두했습니다.
개인정보를 거래하는 암시장에서 신용카드정보는 1달러 미만에 거래되는 반면, 의료기록 정보는 환자당 10달러까지 거래될 정도로 기업들이 가장 탐내는 정보입니다.
그 중에서도 유전자 정보는 개인의 현재뿐 아니라 미래의 건강 상태까지 예측할 수 있기 때문에 보험회사, 의료 및 건강 제품 판매회사, 웰니스(Wellness) 업체 등의 기업 입장에서는 더더욱 욕심나는 정보가 될 수 있습니다.
유전자 정보는 높은 시장적 가치만큼 유출 시 개인에게 끼치는 피해가 매우 큽니다. 다른 개인 정보와 달리 유출 시에도 변경할 수 없으며, 한 개인의 유전정보를 알면 가족의 유전정보를 파악할 수 있기 때문에 그 피해가 가족에게까지 확대될 수 있기 때문이죠.
그럼에도 불구하고 유전자 연구결과가 인류에게 가져다줄 막대한 가치로 인해 많은 사람들이 자신의 유전자 정보를 기증하여 연구에 활용하도록 공개하고 있습니다.
개인 게놈 프로젝트(PGP, Personal Genome Project)와 같은 유전자 정보 연구 프로젝트에서는 공개된 웹사이트를 통해서 기증자의 이름이나 식별 정보 없이 유전자 정보만을 공개하고 있는데요. 이렇게 유전자 정보가 공개된 경우 개인의 프라이버시는 안전할까요?
유전자 정보를 인터넷으로 검색 가능한 시대, 유전자 정보의 익명성은?
2013년 MIT의 Erlich 박사와 대학원생 Gymrek은 Science지에 기고한 논문을 통해 연구 목적으로 공개된 유전자 정보 데이터베이스, 구글, 가계도 제공 사이트를 이용하여 기증자 50명의 신원 및 가족관계를 파악하는데 성공했다고 발표했습니다.
이 연구에서 가계도 조사가 확실한 부유한 중산층 백인 남성의 경우, 유전자 정보만으로도 신원을 알아낼 수 있는 확률은 대략 12%로 예측되었다고 합니다. 물론 연령, 성별 등 유전자의 속성 정보까지 알 수 있는 경우에는 그 확률은 더욱 높아진다고 합니다.
이 밖에도 익명의 남자에게 기증받은 정자로 세상에 태어난 미국의 15세 소년이 민간업체를 통한 유전자 검사 결과를 이용하여 정자를 기증한 아버지를 찾아낸 사례도 있습니다. 이 소년은 정자 기증자의 신원을 보호하는 법률을 위반하지 않고 인터넷 검색만으로 생부를 찾아내어 화제가 되었습니다.
일각에서는, 현재 수십 만 명의 유전자 정보가 온라인에 공개되어 있지만 아직까지 개인정보가 유출되었다는 보고가 없다며 과민반응을 보일 필요는 없다고 지적하고 있습니다. 하지만, 유전자 분석 기술의 눈부신 발전 속도를 볼 때 성급한 우려로 치부하기는 어려워 보입니다.
유전자 분석 기술의 기하급수적인 발전과 유전자 프라이버시 위험
2003년 마무리된 휴먼 게놈 프로젝트(HGP, Human Genome Project)에서 13년간 27억 달러가 필요했던 인당 유전자 분석 시간과 비용은, 현재 30시간, 1,000달러 정도만 소요될 정도로 급격하게 줄어들었습니다. 이는 IT 기술의 기하급수적 발전 속도를 설명하는 무어의 법칙을 능가하는 속도입니다.
또한, 2015년 연구결과에 따르면 지금까지 인류가 가진 유전자 정보의 양은 7개월마다 두 배씩 증가하고 있습니다.
미국의 대표적인 유전정보 분석회사 23andMe는 이미 고객 수 120만 명을 초과했으며, 다국적 제약사 아스트라제네카는 200만 게놈 프로젝트를 진행 중입니다.
기업뿐 아니라 국가별로도 다양한 유전자 분석 프로젝트들이 진행되고 있습니다. 미국 오바마 정부는 정밀 의료 추진계획을 통해 100만명의 유전자 데이터베이스를 구축 중이며, 중국은 2030년까지 1억 명의 유전자 분석을 목표로 하고 있습니다. 우리나라에서도 2015년 11월 ‘울산 1만 명 게놈 프로젝트’를 기점으로 이런 흐름에 동참하고 있습니다.
이처럼, 개인 유전자 정보 데이터베이스 축적과 유전자 정보 서비스 시장 활성화가 가속화되면서 유전자 프라이버시 위험 역시 기하급수적으로 증가할 것으로 보입니다.
유전자 정보 활용에 대한 규제와 보호대책
미국과 같은 선진국에서는 이미 개인 유전자 정보 보호를 위한 법∙제도를 마련하여, 유전자 정보에 대해서는 일반 개인 정보보다 높은 수준의 보호조치를 취하도록 촉구하는 노력을 기울이고 있습니다.
1982년 유럽국회에서는 처음으로 유전자 프라이버시를 권리로 인정했으며, 1997년 유네스코의 ‘인간 게놈과 인권에 관한 선언’에서 인간 유전자의 유일성과 다양성을 인정함으로써 유전자 프라이버시의 근거를 제시하고 있습니다.
2003년 유네스코 총회에서 채택된 ‘인간 유전자 정보에 관한 국제선언’에서는 다음과 같은 이유로 유전자 정보에 대한 특별한 지위를 인정하고 있습니다.
1) 개인에 대한 유전적 소인을 예측할 수 있다.
2) 후손을 비롯하여 여러 세대에 걸쳐 중대한 영향을 미칠 수 있으며, 경우에 따라서 개인이 속한 집단 전체에 중대한 영향을 미칠 수도 있다.
3) 생물학적 시료를 수집할 당시에는 그 중요성이 반드시 알려져 있지 않은 정보를 포함할 수 있다.
4) 개인이나 집단에 문화적 중요성을 지닐 수 있다.
또한, 유전자 정보와 유전 정보 추출을 위한 생물학적 시료(이하 ‘인체유래물’)에 대한 적절한 수준의 보호장치의 필요성을 강조하며, 유전자 정보와 인체유래물의 수집, 처리, 이용, 보관 등 단계에 따른 보호 원칙을 아래와 같이 제시하고 있습니다.
미국은 건강보험 양도 및 책임에 관한 법안(HIPAA, Health Insurance Portability and Accountability Act)의 프라이버시 규정을 통해, 건강정보와 개인식별정보가 결합한 형태의 정보를 보호필요건강정보(PHI, Protected Health Information)로 분류하고 있습니다. 별도의 관리 규정을 마련하여 의료정보를 취급하는 대상에 따라 정보의 이용 및 공개에 대한 세분화된 원칙을 적용하고 있는 것입니다.
또한 유전자 차별 금지법(GINA, Genetic Information Nondiscrimination Act)을 통해 고용주가 고용, 해고, 판촉, 급여와 같은 고용 결정에 유전 정보를 사용하는 것을 금지하고 있습니다.
일본에서는 2001년 ‘인간 유전체•유전자 해석 연구에 관한 윤리지침’을 통해 유전자 정보를 취급하는 모든 기관에는 반드시 개인 정보 관리자를 지정하도록 하고, 외부기관으로 검사 대상물이 이동할 때 개인 유전정보를 반드시 익명화 처리하도록 규정하고 있습니다.
우리나라에서는 개인정보보호법 시행령 제18조에서 유전자 정보를 민감정보로 분류하고 있으며, 2005년 생명윤리 및 안전을 위한 법률 제정을 통해 유전자 검사, 활용, 제공 등의 제한과 유전자 정보 보호조치에 대해 규제하고 있습니다.
생명윤리법을 중심으로 유전자 정보 서비스를 수행하고자 하는 업체가 준수해야 하는 사항은 대략 다음과 같습니다.
현행 규제들은 유전자 정보를 개인식별 정보가 아닌 민감한 의료 정보 차원에서의 보호 대책들을 제시하고 있습니다.
유전자 정보가 내재적으로 식별 정보를 포함하고 있는 궁극적인 식별자라고 할 때, 유전자 정보 보호에 대한 제도적 장치가 여전히 미흡하다는 의견이 지배적입니다만, 유전자 정보 분석을 통해 좀 더 나은 치료법 연구를 수행하는데 과도한 규제와 통제는 장애로 작용할 수 있습니다.
2016년 3월 보건복지부는 정밀 의료 산업화 기반 마련을 위한 ‘정밀 의료 연구개발 추진위원회’를 구성했습니다.
정밀 의료(Precision Medicine)란 개인의 유전체 정보, 의료 임상정보, 생활습관 정보(Life Log)의 통합분석을 통한 개인별 맞춤형 의료 서비스로, 오믹스1와 빅데이터 기술을 기반으로 하고 있습니다.
정밀 의료 분야는 앞서 언급한 미국의 오바마 정부를 비롯해 일본, 영국, 중국 등이 적극적인 투자를 시작하고 있으며, 애플, 구글, IBM 등 대형 글로벌 IT 업체들의 시장 선점을 위한 주도권 싸움이 치열합니다.
우리나라는 단일 건강보험제도를 통해 확보한 전 국민 보건의료 데이터와 세계 최고 수준의 IT 역량을 바탕으로 정밀 의료를 국가 9대 전략 프로젝트 중 하나로 추진 중인데요. 이러한 시점에 유전자 프라이버시를 보호하면서도 연구도 활성화할 수 있는 정보 보호 제도와 대책 마련이 꼭 풀어야 과제로 보입니다.
글 ㅣ LG CNS 보안컨설팅팀
[‘보안, 이렇게 하면 된다’ 연재 현황]
[1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
[2편] ISMS 인증을 위한 보안솔루션 구성 방안
[3편] ISMS 인증 주요 결함사항 및 대응방안
[4편] 정보보호 관련 인증 및 평가 제도
[5편] 스마트폰의 보안 위협과 대응 방안
[6편] IoT 보안 취약점 사례 소재 및 취약점 진단
[7편] 스마트폰 앱 서비스 보안의 현재와 미래
[8편] 중국 개인정보 보호법 제도 동향 및 대응방향
[9편] 출입 보안을 위한 보안 설계
[10편] 소프트웨어 개발 보안 – 시큐어 코딩
[11편] 당신의 출입카드는 안녕하십니까?
[12편] 통합 보안 관리 동향 및 활용 방안
[13편] 비대면 실명인증이란 무엇인가?
[14편] 프로젝트에서 소스 코드 보안 점검하기
[15편] 차세대 행위 기반 위협 탐지 방식에 관하여
[16편] 핀테크 보안 위협과 대응 방안
[17편] 인공지능과 보안
[18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
[19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
[19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
[20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
[20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
[21편] 유전자 정보 보안 안전한가?
- 오믹스(omics : 유전체, 단백질체 등 생물학적 정보 전체를 종합하여 해석하는 학문체계, 유전체학(genomics) +단백질학(Proteomics) 등) [본문으로]
