가짜를 불가능하게 만들기
요약
본 글은 민감한 의료 데이터(PHI)를 다루는 데 있어 '그럴듯한 가짜' 데이터의 위험성을 지적합니다. HIPAA 규정상 실제와 구별하기 어려운 가짜 데이터는 감사(audit)의 부담을 남기므로, 대신 구조적으로 불가능하여 누구나 쉽게 가짜임을 알 수 있는 '불가능한 가짜' 데이터를 사용하는 것이 해결책입니다.
핵심 포인트
- 가장 큰 위험은 그럴듯하게 보이는 가짜 데이터 자체이다.
- 데이터 안전성은 실제처럼 보이는 것이 아니라 명백히 가짜인 것에 있다.
- 모든 스크린샷과 데모는 프로덕션 콘솔의 픽셀을 전혀 사용하지 않았다.
- ID 형식이나 이름 등 구조적 단서를 활용하여 '불가능한 가짜'를 구현했다.
내 케어 플랫폼의 공개 투어를 이용하는 모든 환자는 컴퓨터 과학 개척자입니다. Ada Lovelace는 통증 점수를 가지고 있습니다. Alan Turing는 검진을 받아야 합니다. 그리고 그들 각자는 어떤 실제 시스템도 발행할 수 없는 환자 ID를 가지고 있는데, 이 ID는 13월에 날짜가 잘못된 것처럼 틀린 것입니다. 이것들은 모두 우연이 아닙니다. 이것은 올해 제가 가진 가장 유용한 규정 준수 아이디어입니다.
좋은 가짜 데이터는 책임(liability)이다
현실적인 데모 데이터에는 문제가 있습니다. HIPAA에 따르면, 아무도 잘 만들어진 가짜와 실제 데이터를 보고 구별할 수 없습니다. 그럴듯한 ID를 가진 John Smith라는 가짜 환자의 스크린샷은 실제 환자의 스크린샷과 똑같이 보입니다. 그래서 이 이미지가 발표 자료나 트윗, 또는 전달된 이메일에서 발견되면, 누군가는 이것이 깨끗하다는 것을 증명해야 합니다. 그리고 그것을 증명하는 유일한 방법은 데이터베이스로 돌아가서 해당 기록이 존재하지 않음을 보여주는 것입니다. 이것이 감사(audit)입니다. 모든 그럴듯한 가짜에는 미래의 감사가 내포되어 있습니다.
따라서 좋은 가짜는 위험을 줄이지 못합니다. 단지 이동시킬 뿐입니다. 가짜가 보일수록, 그것이 가짜임을 증명하는 데 드는 비용은 더 커집니다. 가짜의 안전성은 얼마나 실제처럼 보이는지에 있는 것이 아닙니다. 얼마나 명백하게 가짜인지에 있습니다.
그럴듯한 가짜는 자신을 정리하기 위해 감사가 필요합니다. 불가능한 가짜는 스스로를 정리합니다.
해결책은 가짜를 그럴듯하게 만드는 것을 멈추고, 불가능하게 만들기 시작하는 것입니다. ID 형식이 한눈에 깨지는 Grace Hopper라는 환자는 실제 기록일 수 없습니다. 누구든지 픽셀만으로 그것을 확인할 수 있습니다. 조회도, 감사 추적(audit trail)도, 회의도 필요 없습니다.
제로 픽셀 (Zero pixels)
clearpathcare.ai에서의 공개 쇼케이스는 프로덕션 콘솔의 어떤 픽셀도 포함하고 있지 않습니다. 모든 화면은 React로 재창조되었으며, 실제로 만지지는 않으면서 제품처럼 보이도록 수작업으로 재구축되었습니다.
무엇이 깨졌나:
마케팅 화면의 초기 초안은 테스트 환자 데이터를 심어 넣은 콘솔 스크린샷으로 시작되었습니다. 현실적인 이름, 현실적인 ID가 포함되어 있었습니다. 그러다 저는 이미지로는 답할 수 없는 질문을 던졌습니다. 이 프레임 안에 실제 기록이 없다는 것을 증명해 보라고요. 저는 할 수 없었습니다. 그래서 모든 스크린샷을 삭제하고 화면을 처음부터 다시 구축했습니다.
재구축된 화면들은 단일 파일, lib/demo-data.ts에서 데이터를 가져오며, 그 안의 모든 기록은 두 가지 규칙을 따릅니다. 이름은 컴퓨터 과학 분야의 선구자이므로 사람이 보면 한눈에 상징적으로 인식합니다. ID는 구조적으로 불가능하므로 기계가 형식만으로 거부합니다. 사람에게는 하나의 단서, 시스템에는 또 다른 단서입니다.
동일한 기록들은 제품 내부에서 안내형 데모를 구동하는 데 사용됩니다: 등록부터 감사 증명(audit-proof)이 가능한 클레임까지 한 환자를 따라가는 9개의 장(chapter), 약 40단계에 걸쳐 진행됩니다. 화면 위에 투명한 레이어가 있어 시청만 가능하며, 아무것도 클릭할 수 없습니다. 환자 앱 역시 동일하게 불가능한 데이터를 사용하여 매칭되는 데모 모드를 실행합니다.
- 프로덕션 콘솔에서 가져온 픽셀: 0개
- 안내 투어의 장(chapter): 9개
- 등록부터 클레임까지의 단계: 약 40단계
결과:
이 투어는 어떤 승인 과정도 거치지 않고 순환합니다. 누구나 아무 화면이나 스크린샷으로 찍고, 게시하고, 슬라이드덱에 넣을 수 있으며, 이 프레임 자체가 깨끗하다는 증거가 됩니다.
하나의 아이디어, 세 개의 공간
저는 여러 방에서 같은 형태를 계속 발견합니다. 헬스케어 분야에서는 가짜가 불가능해야 하므로 스크린샷이 PHI(보호 대상 건강 정보)가 될 수 없습니다. 컴플라이언스(Compliance) 측면에서는 증거가 아티팩트(artifact) 자체에 존재해야 합니다. 왜냐하면 프로세스는 건너뛸 수 있지만 픽셀은 할 수 없기 때문입니다. 마케팅 측면에서는 데모가 이동해야 하며, 자유롭게 이동할 수 있는 유일한 데모는 그 자체의 순수성(innocence)을 가지고 가는 것입니다. 세 개의 공간, 하나의 아이디어: 증거를 사물 자체 안에 넣는 것입니다.
저는 여러 산업에서 사업을 운영하고 있으며, 이 현상은 계속 발생합니다. 한 공간에서 나온 작은 아이디어가 다른 공간에서는 전체 핵심이 되는 경우가 생깁니다.
오래전에 저는 녹색 체크 표시가 타임스탬프라고 썼습니다. 이는 당신이 봤을 때 모든 것이 정상이었음을 증명합니다. 데이터베이스 조회도 같은 종류의 증거입니다. 스크린샷이 누군가 확인했을 당시 깨끗했음을 보여줍니다. 불가능한 ID는 다릅니다. 그것은 확인 기록이 아닙니다. 그것은 그 사물의 속성입니다. 시간이 지나서 무효화될 수 없습니다.
핵심 통찰: 데모 데이터를 그럴듯하게 만들지 마세요. 불가능하게 만드세요. 그래야 어떤 스크린샷도 데이터베이스 조회 없이 스스로의 결백을 증명할 수 있습니다.
불가능하게 만들기
규제 대상인 무언가를 실행하고 그것을 외부 사람들에게 보여줘야 한다면, 제가 이렇게 할 것입니다:
- 운영 환경(production) 픽셀을 공개 자료에 절대 사용하지 마세요. 스크린샷을 찍지 말고 화면을 다시 만드세요.
- 모든 가짜 기록에 두 가지 단서를 주세요: 사람이 상징적이라고 읽는 이름과 기계가 무효하다고 읽는 ID입니다.
- 증거를 프로세스(process)가 아닌 아티팩트(artifact)에 담으세요. 프로세스는 건너뛸 수 있습니다. 픽셀은 그렇지 않습니다.
- 그럴듯한 가짜들을 실제처럼 취급하세요. 왜냐하면 당신이 한눈에 구별할 수 없다면, 감사자(auditor)도 할 수 없기 때문입니다.
이상한 점은 불가능한 데이터가 데모를 더 좋게 만들었다는 것입니다. 투어를 보는 누구도 자신이 어떤 차트를 보고 있는지 궁금해하지 않습니다. 질문 자체가 나오지 않는데, 그 이유는 이미 화면에 답이 있기 때문입니다.
Ada Lovelace는 통증 점수(pain score)가 없었습니다. 그것이 바로 제가 그녀의 것을 보여줄 수 있는 이유입니다.
원문은 nabbilkhan.com에 게시되었습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기