"ISO27001로 보안 강화"…슬립큐, 디지털치료제 신뢰 높였다
불면증 디지털 치료기기 슬립큐가 국제 정보보호 인증을 획득하며 디지털 헬스케어 산업의 신뢰 경쟁에 불을 지피고 있다. 환자 행동 데이터를 기반으로 인지행동치료를 제공하는 디지털 치료제는 특성상 민감한 건강 정보를 대규모로 다루기 때문에, 보안 체계 수준이 시장 진입과 글로벌 확장의 핵심 변수가 되고 있다. 업계에서는 슬립큐의 정보보호 관리체계 인증을 디지털 치료기기와 원격의료 서비스 전반으로 정보보안 요구 수준이 한 단계 높아지는 분기점으로 보는 시각이 나온다.
한독과 웰트가 협업해 개발한 불면증 디지털 치료기기 슬립큐는 최근 ISO 인증 전문기관 KSR인증원으로부터 국제표준 정보보호 관리체계 ISO27001 인증을 취득했다. ISO27001은 국제표준화기구와 국제전기기술위원회가 제정한 정보보호 관리체계 관련 국제 표준으로, 조직이 정보 자산을 식별하고 위험을 평가한 뒤 관리 대책을 수립해 운영하고 있는지 평가하는 제도다. 정보보호 분야에서 가장 권위 있는 국제 인증 중 하나로 꼽힌다.
이번 인증으로 슬립큐는 환자 정보를 포함한 중요 데이터를 체계적이고 안전하게 관리하고 있음을 대외적으로 입증했다. 서버 접근 통제, 데이터 암호화, 계정 관리, 사고 대응 프로세스 등 전반적인 정보보안 거버넌스가 국제 기준에 맞춰 정비됐다는 뜻이다. 한독은 이런 체계가 글로벌 규제·가이드라인이 요구하는 수준을 충족해 유럽을 비롯한 해외 시장 진출 시 신뢰도와 협상력을 높여줄 것으로 보고 있다.
슬립큐는 통합심사 1호 혁신의료기기로 식품의약품안전처 허가를 받은 불면증 치료용 디지털 치료기기다. 통합심사는 의료기기 인허가와 신의료기술평가, 보험 등재 심사를 묶어 진행하는 제도로, 슬립큐는 이 제도 아래 첫 혁신의료기기 타이틀을 얻었다. 기존에 병원 환경에서만 이뤄지던 불면증 인지행동치료를 디지털로 구현해 스마트폰 앱 형태로 제공하는 것이 특징이다.
기술적으로 슬립큐는 환자의 수면 시간, 잠드는 데 걸린 시간, 밤중 각성 패턴 등 다양한 수면 데이터를 앱을 통해 수집하고, 이를 분석해 개인별 맞춤 치료 콘텐츠를 제공한다. 핵심 치료 구성은 수면 제한, 자극조절, 인지 재구성, 이완요법, 수면 위생 교육으로, 기존 대면 인지행동치료 프로토콜을 알고리즘 기반 디지털 모듈로 재구성한 형태다. 의료진 처방을 통해만 사용 가능한 처방용 소프트웨어 의료기기로 분류되며, 환자는 약 6주간의 치료 과정을 거치며 수면 습관을 근본적으로 교정하도록 설계됐다.
한독에 따르면 불면증 환자를 대상으로 진행한 허가 임상시험에서 슬립큐는 수면 효율을 통계적으로 유의하게 향상시켰다. 슬립큐로 치료받은 환자군의 경우 7주 시점 수면 효율 비율이 기저치 대비 약 15.14퍼센트 개선됐다. 수면 효율은 실제 잠든 시간과 잠자리에 누워 있던 시간을 비교해 산출하는 객관적 정량 지표로, 값이 높을수록 잠자리에 있는 시간이 실제 수면으로 채워졌다는 의미다. 제약 기반 약물치료가 주로 증상 완화에 초점을 맞추는 것과 달리, 슬립큐는 행동 패턴 변화와 인지 재구성을 통해 장기적인 수면 습관 개선을 목표로 한다는 점에서 차별화된다.
시장 측면에서 슬립큐와 같은 디지털 치료제는 만성 불면증 환자의 접근성을 크게 높일 수 있는 도구로 평가된다. 대면 인지행동치료는 숙련된 전문 인력이 필요하고, 진료 가능 시간과 지역 편차가 커 실제 치료로 이어지기 어려운 한계가 있었다. 모바일 앱 기반 처방형 기기는 환자가 집에서도 표준화된 프로그램을 이수할 수 있어 치료 순응도를 높일 여지가 크다. 다만 이 과정에서 생성되는 고빈도, 장기 수집 건강 데이터는 잠재적인 개인정보 침해 위험 요소로 지적돼 왔다. ISO27001 인증을 받은 슬립큐의 사례는 민감정보를 다루는 디지털 치료제가 어느 수준의 보안 체계를 갖춰야 하는지 하나의 기준점을 제시하는 효과가 있다.
글로벌 시장에서는 이미 디지털 치료제 경쟁이 본격화된 상황이다. 미국과 유럽에서는 불면증, 우울증, ADHD, 약물중독 등을 대상으로 한 여러 디지털 치료제가 의료기기 인허가와 보험 등재를 동시에 추진하고 있다. 이 가운데 상당수는 의료 데이터 보호 규제와 개인정보보호법을 충족하기 위해 ISO27001을 비롯한 보안 인증, 클라우드 보안 인증을 확보하는 추세다. 국내에서도 슬립큐처럼 규제와 보안 요건을 전면에 내세우는 모델이 늘어날 경우, 해외 파트너십이나 공동 임상 설계에서 협상력이 높아질 수 있다는 분석이 나온다.
정보보호와 규제 준수는 디지털 헬스케어 사업의 상용화 진입장벽이기도 하다. 특히 유럽 일반개인정보보호법과 미국 의료정보보호법은 환자 데이터의 저장 위치, 접근 권한, 2차 활용 범위 등을 엄격하게 제한하고 있어, 한국 기업이 현지 시장에 진입하려면 기술적 보안과 관리체계를 동시에 입증해야 한다. ISO27001은 이런 규제 환경에서 정보보호 관리 수준을 간명하게 보여줄 수 있는 인증 수단으로 활용되는 분위기다. 디지털 치료기가 AI 기반 예측 모델, 클라우드 인프라, 병원 전자의무기록 연동 등과 맞물리면서 데이터 흐름이 복잡해지는 만큼, 국제표준 수준의 위험 관리 체계 확보가 필수 요건으로 부상하고 있다.
한독 디지털헬스케어사업실 최은정 상무는 환자들에게 효과적인 디지털 치료 서비스를 제공함과 동시에 민감한 의료정보를 지키는 것이 사업의 핵심 과제라고 강조했다. 그는 슬립큐가 정보보안 관리에 지속적으로 투자를 이어가 신뢰할 수 있는 디지털 치료기기로 자리매김하겠다고 밝혔다. 산업계에서는 슬립큐의 사례를 계기로 국내 디지털 헬스케어 업체들이 기술 성능뿐 아니라 보안 인증과 규제 대응 역량을 핵심 경쟁 요소로 삼을 가능성도 있다고 본다. 결국 디지털 치료제의 확산 속도보다 의료 시스템과 데이터 거버넌스의 전환이 선행돼야 한다는 지적과 함께, 기술과 윤리, 산업과 제도 간 균형이 새로운 성장 조건으로 부상하고 있다.
