Zoom은 HIPAA를 준수할까요? 의료팀이 알아야 할 사항
어떤 Zoom 요금제가 HIPAA 요건을 충족하는지, 어떤 설정을 활성화해야 하는지, 규정 준수의 공백은 어디에 있는지 알기 쉽게 정리했어요.
이 글은 독립적인 가이드예요. Zoom Communications, Inc.와 제휴하거나 보증을 받은 것이 아니에요.
규정 준수 담당자가 팀이 Zoom으로 진행하는 치료 세션에 문제를 제기했어요. 환자가 불만을 접수했고, 이제 빠른 답이 필요해요. Zoom은 HIPAA를 준수하는지, 월요일 전에 무엇을 바꿔야 하는지 알아야 해요.
짧은 답변은 "가능하다"예요. 하지만 적절한 요금제를 선택하고, Business Associate Agreement(BAA)를 체결하고, 약 12가지 설정을 올바르게 구성해야만 해요. 무료 요금제와 대부분의 기본 설정으로는 충족되지 않아요.
이 가이드에서는 어떤 Zoom 요금제가 HIPAA 준수를 지원하는지(2026년 3월 기준), BAA가 무엇을 보장하는지, 설정을 어떻게 잠가야 하는지, Zoom의 한계는 어디인지 자세히 안내해요. IT팀에게 전달할 수 있는 체크리스트와 의료 관리자들이 가장 자주 묻는 질문에 대한 답변도 포함되어 있어요.
이 글은 정보 제공 목적으로만 작성되었으며 법률 또는 의료 자문을 구성하지 않아요. 조직에 맞는 구체적인 지침은 자격을 갖춘 HIPAA 준수 전문가에게 문의하세요.
HIPAA란 무엇인가요?
HIPAA(Health Insurance Portability and Accountability Act)는 1996년에 제정된 미국 연방법으로, 민감한 환자 건강 정보를 보호하기 위한 국가 표준을 설정해요. 의료 제공자, 보험사 및 비즈니스 파트너가 보호 대상 건강 정보(PHI)를 보안하기 위해 물리적, 기술적, 관리적 안전장치를 구현하도록 요구해요. 위반 시 건당 141달러에서 2,134,831달러의 벌금이 부과될 수 있어요(2026년 조정 금액).
Zoom은 HIPAA를 준수할까요?
Zoom은 HIPAA를 준수할 수 있지만, 기본적으로 준수하지는 않아요. 어떤 화상 회의 도구도 마찬가지예요. HIPAA 준수는 켜고 끌 수 있는 제품 기능이 아니라, 적절한 소프트웨어 요금제, 법적 계약 체결, 올바른 설정, 조직 정책이 결합된 결과예요.
실제로 이런 뜻이에요. 지난주에 Zoom을 다운로드해서 무료 요금제로 원격 진료 세션을 시작했다면, HIPAA를 준수하지 않는 거예요. 유료 요금제를 쓰더라도 Zoom과 BAA를 체결하고 계정 설정을 조정할 때까지는 준수하지 않는 상태예요.
예를 들어 리베라 박사는 4명의 치료사가 있는 소규모 정신건강 의원을 운영해요. 2년간 Zoom Basic을 사용하면서 암호화만으로 충분하다고 생각했어요. 규정 준수 감사 후, BAA 없이 녹화한 모든 세션이 잠재적인 HIPAA 위반이라는 사실을 알게 되었어요. 수정에는 3일이 걸렸지만 스트레스는 몇 달간 계속되었어요.
2026년 3월 기준, Zoom은 Zoom for Healthcare를 통해 특정 유료 요금제에서 HIPAA 준수 설정을 제공해요. 적격 계정에 대해 BAA를 체결하며, BAA 조건 내에서 사용할 경우 Zoom Meetings, Zoom Phone, Zoom Team Chat, Zoom Rooms를 보장해요.
HIPAA 준수를 지원하는 Zoom 요금제는?
모든 Zoom 요금제가 BAA에 적격한 것은 아니에요. 2026년 3월 기준, Zoom은 다음 요금제에서 HIPAA 적격 설정을 제공해요.
- Zoom Workplace Pro (유료) + 헬스케어 애드온
- Zoom Workplace Business 이상
- Zoom Workplace Enterprise (전용 헬스케어 기능 포함)
- Zoom for Healthcare (EHR 연동 등 의료 전용 요금제)
무료 Zoom Basic 요금제는 BAA에 적격하지 않아요. 헬스케어 애드온 없는 개인 Pro 계정도 마찬가지예요.
| 요금제 | BAA 가능 | 헬스케어 기능 | 시작 가격(사용자/월) |
|---|---|---|---|
| Zoom Basic (무료) | 불가 | 없음 | $0 |
| Zoom Workplace Pro | 애드온 필요 | 제한적 | zoom.us/pricing 확인 |
| Zoom Workplace Business | 가능 | 표준 | zoom.us/pricing 확인 |
| Zoom Workplace Enterprise | 가능 | 전체 | 맞춤 가격 |
| Zoom for Healthcare | 가능 | EHR 연동, 대기실, 분석 | 맞춤 가격 |
요금제 이름, BAA 적격성 및 가격은 자주 변경돼요. 규정 준수 관련 결정을 내리기 전에 zoom.us/pricing을 방문하거나 Zoom 영업팀에 문의하여 현재 옵션을 확인하세요.
요금제 간 핵심 차이는 BAA만이 아니에요. 상위 요금제에는 의료 기관이 실제로 필요한 기능이 포함되어 있어요. 병원 이름이 표시되는 맞춤 대기실, Epic 및 Cerner 같은 EHR 시스템과의 연동, 녹화 권한을 관리하는 세부 관리 제어 기능 등이에요.
옵션을 비교하고 있다면, Microsoft Teams 대안 가이드에서 다른 플랫폼의 규정 준수 방식을 확인해 보세요.
What Is Flat.social?
A virtual space where you move, talk, and meet — not just stare at a grid of faces
Walk closer to hear someone, step away to leave the conversation
BAA란 무엇이고 왜 중요할까요?
Business Associate Agreement(BAA)는 의료 제공자(또는 기타 적용 대상 기관)와 보호 대상 건강 정보를 처리하는 벤더 간의 법적 구속력이 있는 계약이에요. HIPAA에 따르면, PHI에 접근하거나 저장하거나 전송할 수 있는 모든 서드파티 서비스와 BAA를 체결해야 해요.
BAA 없이는 Zoom의 암호화가 아무리 강력해도 HIPAA를 위반하게 돼요.
Zoom의 BAA는 올바르게 설정된 다음 제품을 보장해요.
- Zoom Meetings (영상 및 음성)
- Zoom Phone
- Zoom Team Chat
- Zoom Rooms
- Zoom Webinars (제한 사항 있음)
- 클라우드 녹화 (BAA 조건에 따라 활성화된 경우)
Zoom 표준 BAA에 포함되지 않는 제품:
- Zoom Apps (서드파티 마켓플레이스 앱)
- Zoom Whiteboard (현재 상태를 Zoom에 확인하세요)
- Zoom Mail 및 Calendar
- 모든 무료 요금제 기능
Zoom에 BAA를 요청하려면 일반적으로 다음이 필요해요.
- 적격 유료 요금제 보유 (Business 이상 또는 헬스케어 애드온이 포함된 Pro)
- Zoom 영업팀 또는 계정 담당자에게 연락
- BAA 문서 검토 및 서명
- Zoom의 HIPAA 구현 가이드에 따라 계정 설정
BAA 체결 과정은 표준 요금제의 경우 보통 15영업일이 소요돼요. Enterprise 계정은 맞춤 BAA 조건을 협상할 수 있으며, 24주가 걸릴 수 있어요.
BAA를 안전벨트라고 생각해 보세요. 차(Zoom)는 안전할 수 있지만, 안전벨트(BAA) 없이는 사고(감사 또는 침해) 시 여전히 위험에 처하게 돼요.
Zoom을 HIPAA 준수로 설정하는 방법: 설정 체크리스트
BAA 체결은 첫 번째 단계예요. 두 번째 단계는 실제로 HIPAA 요건을 충족하도록 Zoom 계정을 설정하는 거예요. Zoom은 BAA 서명자에게 HIPAA 구현 가이드를 제공하지만, IT팀이 반드시 처리해야 할 핵심 설정을 정리했어요.
암호화 설정
- PHI가 포함된 회의에 종단 간 암호화(E2EE)를 활성화하세요. Zoom은 E2EE를 옵션으로 제공하지만 기본적으로는 꺼져 있어요. 참고: E2EE를 활성화하면 클라우드 녹화, 소회의실, 실시간 자막 등 일부 기능이 비활성화돼요.
- 회의실 하드웨어를 사용하는 경우 서드파티 엔드포인트(H.323/SIP)에 대한 암호화를 요구하세요.
- AES 256비트 GCM 암호화를 활성화하세요 (2020년부터 모든 Zoom 회의에 기본 적용).
회의 보안
- 환자가 다른 환자의 세션에 들어가지 않도록 대기실을 활성화하세요.
- 모든 세션에 회의 비밀번호를 요구하세요.
- 환자가 감독 없는 방에 들어가지 않도록 "호스트 전 참가"를 비활성화하세요.
- 예상 참가자가 모두 참여한 후 회의를 잠그세요.
- 채팅 내 파일 전송을 비활성화하세요 (채팅을 통한 우발적 PHI 공유 방지).
- 기본 클라우드 녹화를 비활성화하고, 녹화가 임상적으로 필요하고 환자 동의를 받은 세션에만 활성화하세요.
계정 관리
- 화면 공유를 호스트만으로 제한하세요 (환자의 실수로 인한 화면 공유 방지).
- BAA에 명시적으로 포함되지 않는 한, PHI가 포함된 회의에서 Zoom AI Companion 기능을 비활성화하세요.
- 필요하고 동의를 받은 경우가 아니면 회의 자막을 끄세요.
- 승인된 이메일 주소만 Zoom 조직에 접근할 수 있도록 관리 도메인을 사용하세요.
- 모든 사용자 계정에 이중 인증(2FA)을 활성화하세요.
- 비활성 계정에 자동 세션 타임아웃을 설정하세요.
녹화 및 저장
- 클라우드 녹화를 사용해야 하는 경우, BAA에 명시적으로 포함되어 있는지 확인하고 접근 권한을 승인된 직원에게만 제한하세요.
- 로컬 녹화는 데이터를 자체 인프라에 보관하지만, 자체 암호화 및 접근 제어가 필요해요.
- 임상적으로 더 이상 필요하지 않으면 녹화를 삭제하세요 (보존 정책 설정).
안전한 가상 회의 설정에 도움이 필요한 조직을 위해 별도의 단계별 가이드를 준비했어요.
Zoom은 원격 진료와 심리치료에 HIPAA를 준수할까요?
의료 제공자들이 가장 자주 묻는 질문이며, 답변에는 세부적인 사항이 있어요.
원격 진료 전반적으로 Zoom의 HIPAA 준수 요금제는 잘 작동해요. 1:1 화상 상담, 그룹 치료 세션, 원격 환자 모니터링 체크인까지 지원해요. 2026년 3월 기준, Zoom for Healthcare에는 원격 진료를 위해 특별히 설계된 기능이 포함되어 있어요. 가상 대기실, Epic 및 Cerner와의 EHR 연동, 임상 워크플로 도구 등이에요.
심리치료 및 정신건강의 경우 추가적인 주의가 필요해요. 치료사는 특히 민감한 PHI(약물 남용 기록, 정신건강 진단, 세션 노트)를 다루기 때문이에요. 다음 추가 조치를 고려하세요.
- 치료 세션 중 Zoom의 AI Companion이나 자막 기능을 절대 사용하지 마세요. BAA에 포함되어 있더라도 자동 자막은 불필요한 위험을 만들어요.
- 환자의 서면 동의를 받고 해당 주법이 허용하는 경우가 아니면 모든 녹화를 비활성화하세요.
- 그룹 세션 환자들이 호스트가 입장시키기 전에 서로를 보지 않도록 대기실 기능을 사용하세요.
- 세션 중 Zoom 채팅에서 무엇을 말해도 되고 무엇을 말하면 안 되는지 직원을 교육하세요 (채팅 기록이 저장될 수 있어요).
한 그룹 치료 의원에서 4개의 저녁 세션을 동시에 운영해요. 대기실이 제대로 설정되지 않으면, 불안 장애 그룹의 환자 A가 실수로 약물 남용 세션에 참여하게 돼요. 화면에 보이는 환자 이름은 HIPAA 위반을 구성해요. 적절한 대기실과 비밀번호 설정으로 이를 완전히 방지할 수 있어요.
COVID 시기 HIPAA 면제는 어떻게 되었나요? 2020~2023년 동안 미국 보건복지부(HHS)는 소비자용 영상 도구를 사용하는 원격 진료 제공자에게 집행 재량권을 부여했어요. 해당 면제는 만료되었어요. 2026년 3월 기준, 표준 HIPAA 집행 규칙이 완전히 적용돼요. BAA 없이 원격 진료에 Zoom을 사용하는 것은 위반이에요.
그룹 치료를 위한 소회의실 만들기를 알아보고 있다면, 설정 과정을 다룬 가이드를 확인해 보세요.
Google Meet, Microsoft Teams와 비교한 Zoom의 HIPAA 준수
의료 분야 의사결정권자들은 Zoom을 Google Meet, Microsoft Teams와 자주 비교해요. 2026년 3월 기준 HIPAA 준수 비교 내용이에요.
Zoom은 의료 분야에 특화된 전용 기능을 제공해요. BAA는 Meetings, Phone, Chat, Rooms를 보장해요. Zoom for Healthcare 요금제에는 EHR 연동과 임상 워크플로 도구가 포함되어 있어요. Zoom의 장점은 원격 진료 전용 기능과 대부분의 환자가 이미 사용법을 알고 있다는 점이에요.
Google Meet (Google Workspace 포함)은 HIPAA를 준수할 수 있어요. Google은 Workspace Business, Enterprise, Education Plus 요금제에 BAA를 체결해요. BAA는 Meet, Gmail, Drive, Calendar 및 기타 핵심 Workspace 앱을 보장해요. Google Meet에는 Zoom이 제공하는 의료 전용 기능(EHR 연동, 임상 대기실)이 없지만, 이미 Google Workspace를 사용하는 조직에는 잘 통합돼요.
Microsoft Teams (Microsoft 365 포함)도 HIPAA 준수를 지원해요. Microsoft는 Business, Enterprise, Education 요금제에 BAA를 체결해요. Teams는 Microsoft Cloud for Healthcare 플랫폼과 Azure Health Data Services를 포함한 Microsoft의 의료 전용 도구와 깊이 통합되어 있어요. Microsoft 생태계에 이미 포함된 조직에 가장 강력해요.
| 기능 | Zoom for Healthcare | Google Meet (Workspace) | Microsoft Teams (365) |
|---|---|---|---|
| BAA 제공 | 가능 | 가능 | 가능 |
| E2EE 제공 | 가능 | 가능 | 가능 |
| EHR 연동 | Epic, Cerner 등 | 제한적 | Epic, Cerner (Cloud for Healthcare 통해) |
| 전용 의료 요금제 | 있음 | 없음 | 있음 (Cloud for Healthcare) |
| 환자 친숙도 | 높음 | 중간 | 중간 |
| AI 기능 (BAA 적용) | 부분적 | 부분적 | 부분적 |
세 플랫폼 모두 HIPAA를 준수할 수 있어요. 선택은 기존 인프라, 예산, 사용 중인 EHR 시스템에 따라 달라져요.
기존 화상 통화를 넘어선 대안을 탐색하는 팀이라면, 가상 협업에 다른 접근 방식을 제공하는 온라인 미팅 플랫폼을 확인해 보세요.
HIPAA 준수 없이 Zoom을 사용하면 어떻게 될까요?
적절한 규정 준수 없이 Zoom(또는 다른 영상 도구)으로 PHI를 처리하는 것은 단순한 정책 문제가 아니에요. 실질적인 재정적, 법적 결과를 초래해요.
HIPAA 벌금은 과실 수준에 따라 네 단계로 나뉘어요.
| 단계 | 위반 유형 | 건당 벌금 | 연간 최대 |
|---|---|---|---|
| 1 | 인지하지 못한 경우 (합리적 주의) | $141 ~ $71,162 | $2,134,831 |
| 2 | 합리적 사유 (고의적 태만 아님) | $1,424 ~ $71,162 | $2,134,831 |
| 3 | 고의적 태만, 30일 이내 시정 | $14,232 ~ $71,162 | $2,134,831 |
| 4 | 고의적 태만, 미시정 | $71,162 | $2,134,831 |
2026년 인플레이션 조정 벌금 금액. 출처: HHS Office for Civil Rights.
벌금 외에도 HIPAA 침해는 다음을 유발할 수 있어요.
- 주 검찰총장 조사 (많은 주에 별도 벌금이 있는 자체 건강 정보 보호법이 있어요)
- 환자 소송 (과실 또는 기밀 침해)
- 개인 의료인의 면허 상실
- 평판 손상 (환자가 다른 병원으로 이동)
- 필수 침해 통지 (모든 피해 환자, HHS, 500건 이상 침해 시 지역 언론에 통보)
Zoom 관련 가장 흔한 HIPAA 위반은 극적인 해킹이 아니에요. BAA 없이 Zoom Basic을 사용하는 치료사, 클라우드 녹화를 비활성화하지 않은 병원, 환자 이름이 포함된 회의 링크를 공유한 관리자 등 일상적인 실수예요. 이 각각이 신고 대상 사건이에요.
적절한 보안 관행으로 더 나은 가상 회의를 진행하는 팁은 참여도 높은 온라인 미팅 가이드를 참조하세요.
Zoom과 HIPAA에 대해 자주 묻는 질문
Zoom으로 HIPAA 준수하기: 핵심 요약
Zoom은 올바르게 설정하면 HIPAA를 준수해요. 이번 주에 해야 할 일을 정리했어요.
- 요금제를 확인하세요. Zoom Workplace Business 이상 또는 헬스케어 애드온이 포함된 Zoom Pro가 필요해요. 무료 요금제는 적격하지 않아요.
- BAA를 체결하세요. Zoom 영업팀에 연락하세요. BAA가 서명될 때까지 환자 세션을 예약하지 마세요.
- 설정 체크리스트를 실행하세요. 대기실 활성화, 비밀번호 요구, PHI 세션에 E2EE 활성화, AI 기능 비활성화, 녹화 제한을 설정하세요.
- 직원을 교육하세요. HIPAA 준수는 기술보다 사람 수준에서 더 자주 실패해요. Zoom을 사용하는 모든 임상의와 관리자는 무엇을 할 수 있고 무엇을 할 수 없는지 이해해야 해요.
- 모든 것을 문서화하세요. BAA, 설정 스크린샷, 교육 기록, 사고 대응 계획을 한 곳에 보관하세요. 감사관이 요청할 거예요.
Zoom은 올바르게 설정하면 원격 진료와 의료 커뮤니케이션에 탄탄한 선택이에요. 환자 친숙도, EHR 연동, 의료 전용 기능 덕분에 시장에서 가장 강력한 옵션 중 하나예요. 하지만 규정 준수의 책임은 Zoom이 아닌 여러분에게 있어요.
전체 회의, 소셜 이벤트, 네트워킹 같은 비임상 팀 모임에는 Flat.social이 참가자가 자유롭게 이동하며 자연스럽게 대화하는 공간형 접근 방식을 제공해요.
Zoom은 Zoom Communications, Inc.의 상표예요. HIPAA는 미국 연방법이에요. 이 사이트는 Zoom Communications, Inc.와 제휴하거나, 보증 또는 후원을 받지 않았어요.