Molayo

© 2026 Molayo

Dev.to헤드라인2026. 06. 02. 21:08

2026년에 어떤 AI 도구가 HIPAA BAA에 서명할 것인가 (그리고 '우리가 비용을 지불한다'는 함정)

요약

헬스케어 소프트웨어 개발 시 필수적인 HIPAA BAA 서명 여부와 AI 도구별 플랜 차이를 분석합니다. 유료 구독이 곧 보안 보장을 의미하지 않으며, 대부분의 BAA는 엔터프라이즈 또는 API 티어에 국한됨을 경고합니다.

핵심 포인트

  • 유료 구독(Plus, Pro 등)이 반드시 BAA 보장을 의미하지 않음
  • OpenAI, Anthropic 등 주요 모델은 엔터프라이즈/API 티어에서만 BAA 제공
  • Google Gemini는 Workspace BAA를 통해 엔터프라이즈 외 티어도 지원 가능
  • PHI 입력 전 반드시 BAA 체결 여부와 해당 플랜 등급을 확인해야 함

만약 당신이 헬스케어(Healthcare) 분야의 소프트웨어를 구축한다면, 보안 팀이 모든 새로운 AI 도구에 대해 던지는 질문은 좁고도 냉혹합니다. 바로 '벤더(Vendor)가 비즈니스 파트너 계약(Business Associate Agreement, BAA)에 서명할 것인가, 그리고 어떤 플랜에서 가능한가?'입니다. 서명된 BAA 없이는 암호화(Encryption)가 아무리 뛰어나더라도, 해당 도구에 어떠한 보호 대상 건강 정보(Protected Health Information, PHI)를 입력하는 것도 HIPAA 위반입니다.

저는 사람들을 위해 이 질문에 대해 도구 하나하나 답변해 왔기에, 제가 관리하는 트래커를 통해 모든 AI 도구를 이 단 하나의 질문을 기준으로 확인해 보았습니다. 34개의 도구 중 2026-06-01 기준 결과는 다음과 같습니다:

  • 1개는 표준 유료 플랜(Standard paid plan)에서 BAA에 서명함
  • 9개는 엔터프라이즈 전용 티어(Enterprise-gated tiers)에서만 서명함
  • 3개는 요청 시 서명함
  • 21개는 아예 서명하지 않음

헤드라인은 "대부분이 하지 않는다"가 아닙니다. 핵심은 서명할 의사가 있는 도구들조차 당신이 실제로 사용 중인 플랜을 거의 포함하지 않는다는 점입니다.

"우리가 비용을 지불한다"는 함정

제가 목격한 가장 비싼 실수는 유료 구독이 곧 보장(Coverage)을 의미한다고 가정하는 것입니다. 대개 그렇지 않습니다.

  • ChatGPT (OpenAI): BAA는 ChatGPT Enterprise, API 플랫폼, 그리고 새로운 ChatGPT for Healthcare(2026년 1월 출시)에서 사용할 수 있습니다. 무료(Free), Plus, Pro와 같은 소비자용 플랜은 명시적으로 제외되며 BAA를 받을 수 없습니다. 개인이 월 20달러 또는 200달러를 지불한다고 해서 보장 대상이 되는 것은 아닙니다.
  • Claude (Anthropic): Claude for Enterprise 및 상업용/API 계약에서 BAA가 제공됩니다. 소비자용 Claude(Free, Pro, Max)는 BAA 보장 대상이 아닙니다.
  • Google Gemini: 엔터프라이즈가 아닌 티어에서도 서명하는 유일한 사례지만, 함정이 있습니다. Gemini는 Google Workspace BAA 하에 보장되며, Workspace 관리자가 관리 콘솔(Admin console)에서 해당 BAA를 수락해야 합니다. 무료 소비자용 Gemini 앱은 보장되지 않습니다.

따라서 가장 큰 세 가지 어시스턴트(Assistant)를 관통하는 패턴은 다음과 같습니다. 당신이 가입한 소비자용 티어는 PHI를 절대 보유할 수 없는 유일한 티어라는 점입니다. BAA는 엔터프라이즈 / API / Workspace 측에 존재합니다.

"요청 시(On request)"는 실재하지만, 즉각적이지는 않습니다

세 가지 도구는 "요청 시(on request)" 범주에 속합니다. 자격 요건을 갖춘 고객에게는 적용되지만, 직접 요청해야 합니다. Deepgram (speech-to-text)이 명확한 예시입니다. Deepgram은 ePHI를 제공하는 대상 기관(Covered Entities)을 위해 BAA에 서명하며, 요청 시 특정 플랜 등급(plan tier)에 관계없이 제공됩니다. 여기서 발생하는 마찰은 계약상의 문제가 아니라 운영상의 문제(적절한 팀에 연락하는 과정)입니다.

이를 실제로 어떻게 활용해야 하는가

팀들이 자신도 모르게 규정을 위반하는 상황을 방지해 준 몇 가지 규칙입니다:

  1. 로고가 아닌 등급(tier)을 확인하십시오. "벤더 X는 HIPAA 적격 대상이다"라는 말은 플랜 정보 없이는 무의미합니다. BAA는 거의 항상 특정 등급에 제한되어 있습니다.
  2. BAA는 첫 번째 PHI 바이트가 전달되기 전에 체결되어야 하며, 그 이후가 아닙니다. 제로 리텐션(Zero-retention) 모드와 PHI 비식별화(PHI-redaction) 기능(Deepgram의 redact=phi, 엔터프라이즈 ZDR 기본 설정 등)은 유용한 통제 수단이지만, 체결된 계약을 대신할 수는 없습니다.
  3. 서명을 거부하는 21개 업체에 대해서는: 절대로 PHI를 해당 업체로 라우팅하지 마십시오. 먼저 비식별화(De-identify)를 수행하거나, 대상 목록에 있는 도구를 선택하십시오.

저는 전체적인 날짜별 상세 내역(어떤 등급인지, 마지막 확인 날짜, 각 도구의 출처)을 가입 없이 이곳에 유지하고 있습니다: https://baa-atlas.foundagent.net/ai/hipaa

공지: 저는 해당 트래커를 직접 구축하고 관리합니다. 이는 무료이며 구매해야 할 것은 없습니다. 저 자신이 필요했기 때문에 최신 상태를 유지하고 있으며, 벤더들이 약관을 변경함에 따라 도구별 답변은 몇 달마다 달라질 수 있습니다.

만약 BAA 대응 상태를 확실히 파악할 수 없는 벤더를 발견했다면, 댓글로 이름을 남겨주세요. 실제 상태가 어떤지 제가 파헤쳐 보겠습니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0