내 심박수를 정부가 들여다본다면? Oura 링과 웨어러블 감시의 사각지대

손목과 손가락에 찬 작은 기기가 우리의 24시간을 기록하고 있습니다. 심박수, 수면 패턴, 체온, 심지어 스트레스 지수까지. 그런데 이 데이터가 어디로 흘러가는지, 누가 들여다볼 수 있는지 진지하게 생각해본 적 있으신가요? 최근 Oura 링을 둘러싼 정부 데이터 요청 논의가 다시 수면 위로 떠오르면서, 우리가 무심코 넘겼던 웨어러블 감시의 사각지대가 드러나고 있습니다.

Oura 링이 모으는 데이터의 깊이

먼저 Oura 링이 어떤 기기인지부터 짚어보겠습니다. 핀란드 스타트업에서 시작한 이 반지 형태의 웨어러블은 현재 누적 판매량 250만 대를 넘긴 헬스테크 시장의 다크호스입니다. 애플 워치와 달리 화면도 알림도 없습니다. 오직 데이터 수집에만 집중하죠.

문제는 수집되는 데이터의 깊이입니다. 단순한 걸음 수가 아닙니다. REM 수면과 깊은 수면 비율, 분당 심박수 변동(HRV), 피부 온도 변화, 호흡률, 그리고 이를 기반으로 한 스트레스 지수와 회복 점수까지. 의료 기기가 아닌데도 사실상 24시간 건강 모니터링 데이터를 축적하는 셈입니다.

미군이 코로나 초기에 Oura 링을 대량 도입한 일화는 유명합니다. NBA, NASA, 백악관 직원들까지 사용자 명단에 올랐는데요. 그만큼 이 데이터가 “쓸 만하다"는 방증입니다. 그런데 쓸 만하다는 건, 누군가에게는 탐나는 데이터라는 뜻이기도 합니다.

정부는 어떻게 데이터를 요청할 수 있나

미국 헬스테크 기업들은 정기적으로 투명성 보고서를 발행합니다. 법 집행기관, 정부 기관으로부터 받은 데이터 요청 건수를 공개하는 거죠. 애플, 구글, 핏빗 같은 빅테크는 이 보고서를 통해 어느 정도 견제가 이뤄지지만, Oura 같은 중견 헬스테크 기업의 투명성 보고는 상대적으로 빈약하거나 아예 없습니다.

미국에서는 HIPAA(건강보험 정보 이동 및 책임에 관한 법률)가 의료 데이터를 보호합니다. 그런데 함정이 있습니다. HIPAA는 “의료 제공자"와 “보험사"에 적용되는 법입니다. 소비자가 직접 산 웨어러블 기기 제조사는 대부분 HIPAA 적용 대상이 아닙니다. 즉, 병원이 모은 심박 데이터는 법적으로 보호받지만, 내가 낀 반지가 모은 심박 데이터는 회사의 개인정보 처리방침에 따라 처분됩니다.

수사기관이 영장이나 소환장을 가지고 오면? 대부분의 약관에는 “법적 요구가 있을 경우 협조한다"는 조항이 들어 있습니다. 사용자에게 알리지 않을 수도 있고요.

이미 벌어진 일들이 보여주는 위험

가설이 아닙니다. 실제로 벌어진 사건들이 있습니다. 미국에서 핏빗 데이터가 살인 사건 수사의 결정적 증거로 채택된 사례, 애플 워치 심박 기록이 알리바이 검증에 쓰인 사례, 자동차 사고 시점을 웨어러블로 특정한 사례. 법정에 선 디지털 증인이 된 거죠.

여기까지는 “범죄 수사에 유용하네” 정도로 넘길 수 있습니다. 하지만 한 발 더 나아가면 이야기가 달라집니다. 임신 중단이 형사 처벌 대상이 되는 미국 일부 주에서, 생리 주기 추적 앱이나 체온 변화 데이터가 증거로 활용될 수 있다는 우려는 이미 현실이 됐습니다. 시위 참가자들의 위치와 활동 패턴, 특정 시간대의 심박 상승(긴장 상태)이 정치적 감시에 동원될 가능성도 마찬가지입니다.

Oura가 받은 정부 요청 건수가 구체적으로 몇 건인지 공개된 자료는 제한적입니다. 바로 그 불투명함이 문제의 핵심입니다.

사용자가 모르는 사이 이동하는 데이터

또 하나 짚어야 할 지점이 있습니다. 데이터의 2차 활용입니다. Oura는 보험사, 제약사, 연구기관과 다양한 파트너십을 맺고 있습니다. 익명화된 집계 데이터라는 단서가 붙지만, 최근 연구들은 익명화된 헬스 데이터도 다른 데이터와 결합하면 개인을 식별할 수 있다는 점을 반복해서 증명하고 있습니다.

보험사가 당신의 수면 부족 패턴을 본다면? 고용주가 직원 복지 프로그램이라며 제공한 웨어러블에서 스트레스 지수를 추적한다면? 직접적인 정부 감시가 아니더라도, 데이터는 이미 여러 손을 거치며 의도하지 않은 방향으로 흐릅니다.

유럽의 GDPR은 건강 데이터를 “특별 카테고리"로 분류해 더 엄격하게 보호합니다. 반면 미국과 한국은 이 부분의 법적 공백이 크죠. 한국도 웨어러블 시장이 빠르게 커지고 있지만, 의료 데이터와 라이프로그 데이터의 경계가 모호한 영역에서 별다른 규제 논의가 진전되지 못하고 있습니다.

우리가 할 수 있는 최소한의 방어

당장 반지를 빼라는 이야기는 아닙니다. 다만 몇 가지는 챙겨볼 만합니다. 사용 중인 웨어러블 회사의 개인정보 처리방침에서 “법 집행 협조” 조항과 “제3자 공유” 항목을 한 번은 읽어보시길 권합니다. 데이터 다운로드와 계정 삭제 옵션이 어디 있는지 확인해두는 것도 좋고요. 가능하면 클라우드 동기화를 끄고 로컬 저장만 사용하는 모드가 있는지 살펴보세요.

그리고 무엇보다, 이런 논의를 공론화하는 것이 중요합니다. 빅테크에 대한 데이터 규제 논의는 활발하지만, 소비자 헬스 웨어러블은 여전히 사각지대에 있거든요.

손가락에 낀 작은 반지가 당신의 가장 내밀한 신호를 24시간 받아쓰고 있습니다. 그 기록이 누구의 책상 위에 올라갈 수 있는지, 우리는 지금쯤 진지하게 물어봐야 하지 않을까요? 편리함의 대가로 우리가 무엇을 내주고 있는지, 다시 한 번 점검해볼 시점입니다.