내 심장 박동이 나를 고발한다: 신체 데이터 시대의 역설
2016년 미국에서 심박조율기 데이터가 방화 사건의 형사 증거로 채택됐다. 건강을 지키려고 몸에 붙인 센서가 법정에서 나를 고발하는 구조다. 뉴욕대 퍼거슨 교수는 2026년 저서에서 이 문제를 웨어러블 전체로 확장했고, 한국 경찰청은 2025년 웨어러블 포렌식 연구를 재발주했다. 개인정보 보호법 제23조는 건강 데이터를 민감정보로 보호하지만 법원이 발부한 영장 앞에서 그 보호는 걷힌다. 보호를 걷어내는 이름이 '동의'가 아니라 '영장'이라면, 우리는 무엇을 지키고 있는가.
레이 | 디지털 저널리스트 | awesome.ai.life@gmail.com | 2026년 3월 25일
2016년 미국 오하이오 주, 로스 컴프턴(Ross Compton)이라는 남성이 자신의 집에 방화를 저질렀다는 혐의로 기소됐다. 수사기관이 제출한 핵심 증거 중 하나는 목격자의 진술도, CCTV 영상도 아니었다. 컴프턴의 흉부에 이식된 심박조율기(pacemaker)에서 추출한 생체 데이터였다. 영장을 발부받은 수사관은 컴프턴의 의료기기를 직접 접속해 사건 당시 그의 심박수와 심장 리듬을 읽어냈다. 그 데이터는 컴프턴이 주장한 당시 상황과 일치하지 않는다는 것이 법의학 전문가의 소견이었다. 미국 법원은 이 증거를 채택했다. State of Ohio v. Compton(Case No. CR 2016-12-1826)은 IoT 의료기기 데이터가 형사 증거로 활용된 미국 최초의 사례로 학계에 기록되어 있다.
컴프턴은 재판 도중인 2020년 사망해 유무죄 판결이 내려지지 않았다. 그러나 이 사건이 남긴 질문은 살아있다. 건강을 지키려고 몸에 붙인 센서가 나를 고발하는 도구가 된다면, 우리는 그 센서를 계속 달고 있어야 하는가.
이 질문이 10년 만에 훨씬 더 날카로운 현실로 돌아왔다. 뉴욕대 법학과 앤드류 거스리 퍼거슨(Andrew Guthrie Ferguson) 교수는 2026년 출간한 저서 Your Data Will Be Used Against You(NYU Press)에서 이 질문의 범위를 의료기기에서 일상의 기기 전체로 확장했다. 그는 스마트워치, 헬스앱, 혈당 모니터, 수면 트래커 등 건강 관련 웨어러블 기기가 생성하는 데이터가 수사기관의 증거 수집 도구로 전용되는 구조를 체계적으로 분석했다. 퍼거슨의 핵심 경고를 한 문장으로 요약하면 이렇다. 당신이 더 건강해지려고 기록하는 것들이 당신의 법적 취약성을 키운다.
이것을 단순히 미국의 문제로 넘길 수 없다. 한국 경찰청이 2025년 8월 웨어러블 기기를 대상으로 한 디지털 포렌식 연구를 재발주했다는 사실이 경향신문을 통해 알려졌다. 기술적 준비는 이미 진행 중이다. 법적 경계는 아직 그어지지 않았다.
가장 편리한 반론: 동의했잖아
이 문제를 제기하면 가장 먼저 돌아오는 반론이 있다. "당신이 동의했잖아." 스마트워치를 처음 켤 때, 헬스앱을 설치할 때, 우리는 긴 약관을 빠르게 스크롤하며 동의 버튼을 눌렀다. 그 약관 어딘가에 이 모든 것이 적혀 있지 않았겠느냐는 것이다.
삼성전자 공식 개인정보처리방침에는 법령에 의거하거나 수사기관의 요청이 있는 경우 개인정보를 제공할 수 있다는 취지의 조항이 포함되어 있다. 이것은 삼성전자만의 예외적 조항이 아니다. 한국의 거의 모든 디지털 서비스 약관에 표준적으로 포함된 문구다.
그렇다면 이것은 정당한 동의인가. 여기서 법적 구조를 짚어야 한다. 한국 <개인정보 보호법> 제18조 제2항은 개인정보를 당초 수집 목적 외 용도로 이용하거나 제3자에게 제공할 수 있는 예외 사유를 열거한다. 그 중 제7호는 "범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우"를 예외로 규정한다. 그러나 같은 조항 단서는 명확히 선을 긋는다. 제5호부터 제9호까지의 경우는 "공공기관의 경우로 한정"된다. 삼성전자, 애플, 네이버는 공공기관이 아니다. 따라서 민간 헬스앱과 웨어러블 기업이 수사기관 요청만으로 건강 데이터를 자동으로 제공할 수 있는 법적 근거는 약관 동의나 이 조항만으로는 성립하지 않는다.
약관 동의는 어디까지나 서비스 기업과 개인 사이의 약속이다. 수사기관에 대한 제공을 정당화하는 것은 약관이 아니라, 다음 단계의 절차다.
방어선의 이름은 영장이다
한국 <개인정보 보호법> 제23조는 건강에 관한 정보를 민감정보로 명시하고 원칙적으로 처리를 금지한다. 조문의 문언은 간결하다. "개인정보처리자는 (중략) 건강, 성생활 등에 관한 정보 (중략)를 처리하여서는 아니 된다." 예외는 두 가지뿐이다. 정보주체에게 별도로 동의를 받거나(제1호), "법령에서 민감정보의 처리를 요구하거나 허용하는 경우"(제2호)다.
스마트워치와 헬스앱이 수집하는 심박수, 혈압, 수면 패턴, 생리 주기 데이터는 모두 이 조항의 보호 범위에 들어간다. 그러나 이 구조가 어떻게 실제로 작동하는지 들여다보면 구도가 달라진다. 수사기관에 대한 건강 데이터 제공은 첫 번째 예외(약관 동의, 제1호)가 아니라 두 번째 예외(법령 허용, 제2호)를 근거로 정당화된다. 형사소송법상 압수수색 영장이 바로 그 '법령'에 해당할 수 있다. 즉 약관은 서비스 기업과 개인 사이의 약속이고 수사기관 제공을 열어주는 것은 약관이 아니라 법원이 서명한 영장이다. 방어선의 이름이 '동의'가 아니라 '영장'이라는 사실 자체가 이 문제의 본질이다.
그렇다면 영장은 충분한 경계가 되는가. 이것이 진짜 질문이다.
수정헌법 제4조가 직면한 아날로그 한계
퍼거슨의 분석은 미국 헌법의 구조적 한계에서 출발한다. 미국 수정헌법 제4조는 정부의 불합리한 수색과 압수로부터 시민을 보호한다. 그러나 이 조항은 20세기 이전의 물리적 세계를 전제로 설계됐다. "당신의 집은 당신의 성"이라는 원칙은 스마트워치가 몸에서 24시간 데이터를 수집하는 현실에는 맞지 않는 옷이다.
미국 연방대법원은 Carpenter v. United States(2018)에서 휴대전화 위치 데이터를 수사기관이 영장 없이 통신사로부터 취득하는 것이 수정헌법 제4조 위반이라고 판결했다. 이전까지 적용되던 제3자 원칙(제3자에게 자발적으로 제공한 정보는 헌법적 보호를 받지 못한다는 이론)에 균열을 낸 결정이었다. 2012년 United States v. Jones 판결에서는 차량 GPS 추적기 부착이 영장 없이는 허용되지 않는다는 판단이 나왔다.
현재 연방대법원에는 United States v. Chatrie 사건이 계류 중이다. 구글의 지오펜스 워런트(geofence warrant) - 특정 시간대에 특정 지역에 있었던 모든 기기 정보를 일괄 요청하는 영장 - 의 헌법적 허용 여부가 심리 대상이다. 2026년 봄 변론, 이른 여름 판결이 예상된다. 이 판결은 웨어러블 데이터 압수의 허용 범위를 재설정할 이정표가 될 수 있다.
그러나 판결이 나올 때마다 기술은 한 발짝 더 앞서 있다.
한국의 침묵
퍼거슨이 분석하는 미국의 법적 긴장은 한국에서는 훨씬 조용하게 진행되고 있다. 조용하다는 것은 안전하다는 뜻이 아니다. 논쟁이 없다는 뜻이다.
<개인정보 보호법> 제23조는 앞서 살펴본 두 가지 예외를 두고 있으며, 형사소송법상 영장이 두 번째 예외(법령 허용)에 해당할 수 있다는 해석이 타당하다. 그리고 형사소송법이 일반법인 개인정보 보호법에 대해 특별법 관계에 놓이는 맥락에서는 <개인정보 보호법> 제6조가 선언하는 "다른 법률에 특별한 규정이 있는 경우" 우선 적용 원칙에 따라 형사소송법이 우선한다.
결론적으로 구조는 이렇다. 헬스앱이 수집한 당신의 심박수와 수면 패턴은 민감정보로서 원칙적 보호를 받지만 검사가 청구하고 판사가 발부한 영장 앞에서 그 보호는 걷힌다. 법원이 영장을 발부하는 기준과 범위에 대한 통제 장치는 지금 한국 법제에서 명시적으로 논의되지 않고 있다. 얼마나 넓은 범위의 데이터를 어느 기간 동안, 어떤 혐의와 관련하여 요청할 수 있는지에 대한 세부 기준은 형사소송법의 일반 원칙에 맡겨져 있다.
국가인권위원회는 2023년 1월, 수사기관이 법원 영장 없이 통신사로부터 이용자 정보를 수집하는 관행에 대해 인권침해 판단을 내렸다. 디지털 데이터와 영장주의 사이의 긴장이 한국에서도 이미 현실화된 신호다. 그러나 이 판단이 헬스 데이터와 웨어러블 기기로 확장되는 논의는 아직 시작되지 않았다.
마이데이터가 선언하는 "내 데이터의 주인은 나"라는 명제는, 영장이 도착하는 순간 법적 효력을 잃는다.
동의의 구조적 결함
퍼거슨의 경고로 돌아가자. 그가 지적하는 문제의 핵심은 특정 기업의 악의가 아니다. 구조다.
현재 헬스 데이터 생태계는 세 층위의 행위자로 구성된다. 이용자, 데이터를 수집하는 민간 기업, 그리고 법적 절차를 통해 그 데이터에 접근하는 국가. 이용자는 첫 번째 행위자와 관계를 맺을 때(약관 동의) 세 번째 행위자(국가)의 존재를 충분히 인식하고 동의하는가. 약관을 읽은 사람은 그 중 극히 소수이며, 읽었다 해도 30페이지 분량의 법률 용어를 이해하는 사람은 더 드물다. 이것을 자발적이고 충분한 정보에 기반한 동의라고 부를 수 있는가.
수사기관이 범죄 수사를 위해 증거를 수집하는 것은 정당하다. 영장주의는 그 정당성에 절차적 경계를 부여하는 핵심 장치다. 문제는 그 경계가 웨어러블 생체 데이터에 대해 얼마나 명확하게 그어져 있는가다. 현재 한국의 법제는 그 질문에 구체적으로 답하고 있지 않다.
심박조율기에서 심박수를 읽어내는 기술은 이미 존재한다. 그 데이터를 법정으로 가져가는 절차도 작동한다. 남은 것은 그 사이를 채우는 규범이다. 규범이 없는 곳에서 기술은 항상 가능한 것을 한다. 법은 그 이후에야 따라온다.
당신의 심장 박동은 지금 이 순간도 기록되고 있다. /raylogue
