환자 정보 다루는 AI 에이전트 허용, 아마존 노바 액트 HIPAA 적격성 확보

아마존(Amazon)이 브라우저 기반 AI 에이전트 서비스인 노바 액트(Nova Act)의 HIPAA(미국 의료정보 보호법) 적격성을 확보했다. 이번 조치로 의료 및 생명과학(HCLS) 조직은 전자 보호 건강 정보(ePHI, electronically protected health information)가 포함된 환경에서도 자율형 AI 에이전트를 배포해 복잡한 의료 워크플로우를 자동화할 수 있게 됐다.

그동안 의료 현장에서는 보험금 청구 처리나 환자 전원(Referral) 조정처럼 브라우저에서 반복적으로 수행해야 하는 수동 작업이 많았다. 에이전틱 AI(Agentic AI, 스스로 목표를 설정하고 도구를 사용해 과업을 완수하는 AI)가 이를 자동화할 수 있음에도 불구하고, 엄격한 의료 데이터 보호 규정인 HIPAA 준수 여부가 도입의 가장 큰 걸림돌이었다. 민감한 환자 정보가 AI 모델을 통해 처리되는 과정에서 보안 사고가 발생할 경우 치명적인 법적 리스크가 따르기 때문이다.

노바 액트는 AWS(아마존 웹 서비스)에서 제공하는 서비스로, 대규모 생산 환경의 UI 워크플로우를 자동화하는 신뢰할 수 있는 AI 에이전트 군단을 구축하고 관리할 수 있게 돕는다. 단순히 텍스트를 생성하는 수준을 넘어 브라우저 내에서 반복적인 UI 작업을 직접 수행하며, 판단이 어려운 지점에서는 인간 관리자에게 작업을 넘기는 에스컬레이션 기능을 갖췄다. 특히 자연어의 유연함과 파이썬(Python) 코드의 정밀함을 결합해 워크플로우를 정의할 수 있다는 점이 특징이다.

아마존 노바 액트(Nova Act), HIPAA 적격성 확보와 주요 기능

의료 현장에서는 보험 청구 처리나 진료 의뢰 조정 같은 반복적인 브라우저 기반 작업에 여전히 많은 인력이 투입된다. 그동안은 HIPAA(미국 의료정보 보호법)라는 엄격한 보안 기준 때문에 전자 보호 건강 정보(ePHI)가 포함된 업무에 AI 에이전트를 도입하는 데 제약이 많았다. 아마존 노바 액트(Nova Act)가 HIPAA 적격 서비스로 분류되면서 이러한 장벽이 사라졌다. 이제 의료 기관은 환자의 민감한 정보를 다루는 복잡한 워크플로우를 자율형 AI 에이전트에게 맡겨 실무에 적용할 수 있게 되었다.

노바 액트는 단순히 텍스트를 생성하는 모델이 아니라 브라우저 내의 UI(사용자 인터페이스) 워크플로우를 직접 수행하는 도구다. 쉽게 말하면 웹사이트를 돌아다니며 양식을 채우고 필요한 정보를 추출하는 디지털 직원과 같다. 특히 단일 에이전트가 아니라 에이전트 군단을 구축하고 관리할 수 있어 대규모 생산 공정처럼 UI 작업을 처리한다. 작업을 수행하다가 AI가 스스로 판단하기 어려운 지점에 도달하면 사람 관리자에게 상황을 보고하고 권한을 넘기는 에스컬레이션 기능도 갖췄다. 이는 완전 자동화의 위험성을 줄이면서 효율을 높이는 장치가 된다.

기술적인 작동 방식은 유연한 연결성과 제어권에 기반한다. API 호출은 물론 MCP(Model Control Protocol, 모델 제어 프로토콜)나 스트랜드 에이전트(Strand Agents, 에이전트 프레임워크)와 통합하여 외부 도구를 제어한다. 비유하자면 MCP는 서로 다른 언어를 쓰는 도구들이 소통할 수 있게 돕는 표준 통역사 역할을 하며, 스트랜드 에이전트는 여러 AI가 협업하도록 돕는 조직 체계와 같다. 사용자는 자연어로 대략적인 방향을 지시하고 세부적인 실행 단계는 파이썬(Python) 코드로 정의하여 정교한 워크플로우를 설계한다. 자연어의 유연함과 코드의 정확성을 동시에 잡은 구조다.

실무 적용 범위는 매우 구체적이다. 의료 제공자와 보험사 포털을 넘나들며 예약 일정을 잡거나 보험 자격을 확인하고 사전 승인 절차를 밟는 일이 가능하다. 보험금 청구 상태를 확인하고 이의 신청서를 제출하거나 환급금을 추적하는 과정에서 사람이 일일이 클릭하던 수고를 덜어준다. 여러 시스템에 흩어진 데이터를 모아 컴플라이언스 보고서를 작성하는 작업까지 자동화 영역에 포함된다. 다만 AWS의 공동 책임 모델에 따라 인프라 보안은 아마존이 관리하지만, 실제 배포 환경에서 HIPAA 준수를 위한 세부 제어 설정은 사용자의 몫이다. 자세한 구현 방법은 AWS Cloud Security — HIPAA Compliance와 HIPAA Eligible Services Reference에서 확인할 수 있다.

웹사이트 탐색부터 폼 입력까지, 노바 액트의 동작 방식

기존의 생성형 AI가 채팅창 안에서 정답을 찾아 제시하는 가이드 역할이었다면 노바 액트는 직접 브라우저를 열고 마우스를 움직이는 실행자의 역할을 수행한다. 단순히 텍스트를 생성하는 단계를 넘어 실제 웹 환경과 상호작용하며 정해진 목표를 달성하는 에이전틱 AI(Agentic AI: 스스로 계획을 세우고 도구를 사용해 복잡한 과업을 완수하는 AI) 구조를 갖췄기 때문이다. 쉽게 말하면 사용자가 어떻게 하라고 설명하는 대신 그냥 이 일을 끝내달라고 요청하면 AI가 직접 웹사이트에 접속해 필요한 버튼을 누르고 데이터를 입력하는 방식이다. 이는 AI가 정적인 데이터 학습 결과물만 내놓는 것이 아니라 동적인 라이브 시스템에 직접 개입하여 실시간으로 결과물을 만들어낸다는 점에서 기존 챗봇들과 근본적인 차이가 있다.

동작 과정을 비유하자면 웹 서핑에 능숙한 가상 직원 한 명을 고용해 업무를 맡기는 것과 비슷하다. 노바 액트는 웹사이트 내비게이션(Navigation: 페이지 간 이동 및 탐색) 기능을 통해 필요한 메뉴를 찾아 들어가고 복잡한 양식(Form)에 데이터를 정확히 입력한다. 이 과정에서 페이지 내에 흩어져 있는 핵심 정보를 추출해 다음 단계의 입력값으로 사용하는 다단계 워크플로우(Multi-step Workflow: 여러 개의 세부 작업이 순차적으로 연결된 업무 흐름)를 수행한다. 예를 들어 보험 청구 사이트에 접속해 환자 정보를 입력하고 청구 상태를 확인한 뒤 그 결과를 다시 내부 시스템에 기록하는 일련의 과정을 사람의 개입 없이 스스로 판단해 처리하는 식이다. AI가 화면의 요소를 인식하고 클릭과 입력이라는 물리적 행동을 모사하며 업무를 완수하는 구조다.

특히 노바 액트는 고정된 시나리오대로만 움직이는 단순 매크로와 달리 실제 라이브 시스템의 실시간 반응에 따라 행동을 수정하며 데이터에 접근하고 명령을 실행한다. 하지만 AI가 모든 예외 상황을 완벽하게 처리할 수는 없기에 적절한 시점에 인간 관리자에게 작업을 전달하는 에스컬레이션(Escalation: AI가 해결하기 어려운 난제를 판단해 상위 권한자인 사람에게 업무를 넘기는 과정) 기능을 포함하고 있다. 또한 API 호출이나 MCP(Model Control Protocol: 모델이 외부 도구 및 데이터와 표준화된 방식으로 통신하게 돕는 규약) 그리고 스트랜드 에이전트(Strand Agents: 에이전트 간의 협업과 흐름을 관리하는 프레임워크) 같은 외부 도구와 결합해 확장성을 높였다. 자연어의 유연함과 파이썬(Python) 코드의 정밀함을 결합해 복잡한 의료 행정 업무 같은 고도의 정확성이 필요한 작업까지 자동화 영역으로 끌어들였다.

단순 텍스트 생성 모델과 '에이전틱 AI'의 결정적 차이

기존의 대규모 언어 모델(LLM)에 업무를 요청하면 보통 방법론을 알려주는 수준에서 멈춘다. 보험금 청구 방법을 물으면 필요한 서류 목록과 절차를 친절하게 설명해 주지만, 실제로 웹사이트에 접속해 서류를 업로드하고 버튼을 누르는 일은 결국 사람의 몫이었다. 하지만 노바 액트(Nova Act) 같은 에이전틱 AI(Agentic AI, 스스로 목표를 설정하고 도구를 사용해 과업을 수행하는 AI)는 여기서 한 걸음 더 나아간다. 쉽게 말하면 기존 AI가 정답을 알려주는 상담원이었다면 노바 액트는 직접 시스템에 로그인해 일을 처리하는 실무자에 가깝다. 비유하자면 요리법을 상세히 알려주는 요리책에서 직접 재료를 사고 손질해 식탁 위에 음식을 올리는 요리사로 진화한 셈이다. 사용자는 이제 AI에게 어떻게 하는지 묻는 대신 무엇을 하라고 명령하는 시대로 진입하게 되었다.

이런 변화의 핵심은 라이브 시스템과의 상호작용 능력에 있다. 노바 액트는 단순히 텍스트를 생성하는 것을 넘어 브라우저를 직접 조작하고 양식을 채우며 여러 단계로 구성된 워크플로우를 스스로 실행한다. 예를 들어 예약 일정 조정이나 보험 확인, 사전 승인 요청 같은 복잡한 행정 절차를 AI가 직접 포털에 접속해 처리하는 식이다. 특히 의료 분야에서는 PHI(Protected Health Information, 보호 대상 건강 정보)라는 매우 민감한 데이터를 다뤄야 하는데, 기존 모델들은 보안과 규제 문제로 이런 실시간 데이터 접근에 제약이 많았다. 노바 액트는 HIPAA(Health Insurance Portability and Accountability Act, 미국 의료정보 보호법) 적격성을 확보함으로써 환자의 민감한 건강 정보를 안전하게 처리하며 실제 의료 행정 시스템 내에서 업무를 수행할 수 있는 권한을 갖게 되었다.

다만 시스템을 운영하는 방식에서는 AWS(Amazon Web Services, 아마존 웹 서비스)의 공동 책임 모델(Shared Responsibility Model)이 적용된다. 이는 클라우드 서비스 제공자와 사용자가 보안 책임을 나누어 갖는 방식이다. 비유하자면 AWS가 최첨단 보안 시스템이 갖춰진 튼튼한 아파트 건물(인프라)을 제공하는 역할이라면, 그 집 안에 들어와 누구를 들여보낼지 결정하고 내부 잠금장치를 설정하는 것(HIPAA 준수를 위한 제어 설정)은 사용자의 몫이다. 즉, 아마존이 기반 인프라의 보안은 책임지지만, 실제 배포 환경에서 의료법 규정을 지키기 위한 세부 설정은 기업이 직접 관리해야 한다는 뜻이다. 이러한 구조 덕분에 기업은 인프라 구축의 부담을 덜면서도 자신의 보안 정책에 맞게 AI 에이전트를 정교하게 제어할 수 있으며, 규제 준수라는 까다로운 조건을 충족하면서도 자동화의 효율을 극대화할 수 있다.

예약·청구·심사 자동화, 의료 행정의 '수동 작업' 종말

병원 행정 직원이 여러 보험사 웹사이트에 접속해 환자의 보험 적용 여부를 일일이 확인하고 복잡한 입력 폼을 채우는 작업은 지금까지 전적으로 사람의 몫이었다. 아마존 노바 액트(Amazon Nova Act, 브라우저 기반 작업을 자동화하는 AI 에이전트 서비스)는 이 지루한 클릭과 입력 과정을 대신 수행한다. 비유하자면 숙련된 행정 직원이 옆에서 화면을 보며 대신 마우스를 움직이고 타이핑을 하는 디지털 비서를 두는 것과 같다. 단순히 질문에 답하는 텍스트 생성 AI가 아니라 실제 웹사이트의 버튼을 누르고 데이터를 입력하는 실행력을 갖췄다는 점이 핵심이다.

가장 먼저 체감되는 변화는 진료 예약과 보험 확인(Insurance Verification, 환자의 보험 혜택 적용 여부를 검증하는 절차) 과정이다. 특히 특정 치료를 시작하기 전 보험사의 허락을 받아야 하는 사전 승인(Prior Authorization) 절차는 서류 작업이 많아 시간이 오래 걸리는 대표적인 병목 구간이다. 쉽게 말하면 AI 에이전트가 보험사 포털에 접속해 필요한 환자 정보를 입력하고 승인 여부를 실시간으로 확인해 주는 식이다. 이를 통해 환자는 진료 대기 시간이 획기적으로 줄어들고 의료진은 행정 업무에 뺏기던 시간을 진료에 더 집중할 수 있는 환경을 갖게 된다.

보험 청구 이후의 사후 관리 영역에서도 수동 작업의 종말이 시작된다. 보험사 웹사이트에 들어가 청구 상태를 확인하고, 거절된 건에 대해 이의 신청을 하거나 환급금을 추적하는 일은 매우 반복적이고 소모적인 작업이다. 여기에 의료기관 간에 환자를 보내는 리퍼럴(Referral, 환자 전원) 전송과 그 진행 상황을 추적하는 과정까지 자동화 범위에 포함된다. 또한 여러 시스템에 흩어진 데이터를 수집해 컴플라이언스(Compliance, 법적 규제 준수) 보고서를 작성하는 복잡한 과정도 AI가 처리한다. 실무자 입장에서는 수십 개의 브라우저 탭을 띄워놓고 데이터를 복사해 붙여넣던 단순 노동에서 벗어나 최종 결과물을 검토하는 고차원적인 관리 업무로 전환하게 된다. 이는 결과적으로 의료 행정의 효율성을 높여 환자에게 제공되는 서비스의 전반적인 질을 개선하는 결과로 이어진다.

한국 의료 AI 실무자가 주목할 '컴플라이언스 기반 자동화'

의료 현장 실무자가 보험 청구 상태를 확인하거나 환자 의뢰서를 처리할 때 가장 먼저 하는 일은 브라우저를 열고 여러 사이트를 오가는 반복 작업이다. 그동안 이런 단순 업무에 AI 에이전트를 도입하지 못한 이유는 데이터 보안 때문이다. 특히 환자의 민감한 정보가 포함된 전자 보호 건강 정보(ePHI, electronically Protected Health Information)를 다룰 때는 아주 작은 실수만으로도 법적 책임이 따르는 엄격한 규제가 적용된다. 미국에서는 HIPAA(Health Insurance Portability and Accountability Act, 건강보험 양도 및 책임법)라는 기준이 이 경계선을 결정한다. 한국 역시 개인정보 보호법이 매우 까다롭기 때문에 의료 AI 실무자들에게는 기술의 성능보다 규제 준수 여부가 도입의 선결 과제다.

규제 환경에서 AI를 안전하게 배포하려면 단순한 약관 동의를 넘어 BAA(Business Associate Agreement, 사업 제휴 계약) 체결이 필수적이다. 쉽게 말하면 BAA는 클라우드 제공자와 의료 기관이 맺는 일종의 보안 서약서다. 비유하자면 병원이라는 금고의 열쇠를 외부 업체에 맡길 때, 사고가 나면 누가 어떻게 책임질지 명확히 적어둔 계약서와 같다. 아마존 노바 액트가 HIPAA 적격 서비스로 분류되었다는 점은 이러한 법적 안전장치 위에서 자율적인 AI 에이전트를 구동할 수 있다는 뜻이다. 이제 실무자는 AI가 스스로 웹사이트를 탐색하고 양식을 채우는 과정에서 발생하는 데이터 흐름을 규제 범위 내에서 관리할 수 있게 되었다.

자율적 에이전트(Agentic AI, 스스로 목표를 설정하고 도구를 사용해 과업을 수행하는 AI)와 컴플라이언스의 결합은 단순한 자동화를 넘어 운영 방식의 변화를 가져온다. 이전에는 사람이 일일이 확인하던 보험 검증이나 사전 승인 절차를 AI가 대신 수행하면서도, 모든 과정이 규제 가이드라인을 따르도록 설계할 수 있다. 실무자는 AWS HIPAA 적격 서비스 참조 가이드를 통해 어떤 서비스가 규제 준수 환경에 적합한지 확인하고 아키텍처를 설계하면 된다. 이는 한국의 의료 환경에서도 시사하는 바가 크다. 규제 준수라는 제약 조건을 AI의 자율성과 결합하는 전략은 의료 데이터의 보안성을 유지하면서도 행정 부담을 획기적으로 줄이는 벤치마크가 된다.

실제로 의료 AI를 현장에 적용하려는 개발팀이 가장 고심하는 지점은 제어권과 자율성의 균형이다. AI가 스스로 판단해 업무를 처리하는 에이전트 방식은 효율적이지만, 규제 환경에서는 예측 불가능한 동작이 리스크가 된다. 하지만 적격 서비스 기반의 프레임워크를 활용하면 AI의 행동 반경을 규제 범위 내로 한정하면서도 반복적인 UI 워크플로우를 자동화할 수 있다. 이는 환자 예약 관리나 보험금 청구 추적 같은 복잡한 단계를 사람이 개입하지 않고도 처리하게 만든다. 기술적 구현보다 중요한 것은 규제라는 틀 안에서 AI가 움직일 수 있는 안전한 통로를 확보하는 일이다.