개인의 의료 정보 유출이 심각한 가운데 보안 업계가 정보보호 제도 개선과 함께 시스템을 통한 불공정 행위 개선 필요성을 제기했다.
27일 업계에 따르면 최근 개인정보보호위원회는 개인정보보호 법규를 위반한 17개 종합병원 중 16개 병원에 최소 300만원에서 최대 2000만원대 벌금과 개선 권고를 의결했다.
국내 일부 대형병원 환자 개인 정보망이 2018년부터 2020년까지 제약사와 내부 직원 '놀이터'가 됐다. 이들은 수시로 관련 정보를 유출하고, 다운로드하는 등 민감 개인정보를 빼내갔다.
조사 결과에 따르면 서울 성모병원 직원은 환자 1만6463명 개인정보를 제약회사 직원에게 이메일과 보조 저장매체(USB)를 이용해 넘겼다. 연세대학교 세브란스 병원 직원은 5만7912명 환자 정보를 제약회사 직원에게 이메일로 송부했다. 성심병원은 8613명 환자정보, 동탄성심병원에서는 3095명 환자정보가 유출됐다.
환자 민감 정보가 유출되면서 명의도용과 같은 2차 피해는 물론 사생활 유출 우려도 나온다. IT업계에서는 이 사건을 경험 삼아 정책 차원에서 병원에 최적화한 사이버 보안 대책을 마련하고, 적극 대응해야 한다는 목소리 높다.
병원 PC의 망분리, 매체제어 도입 등 보안 강화 등 '보안시스템화가 필요하다는 지적이 나온다.
업계 전문가는 “정부 차원에서 대형병원 보안 취약점 점검과 사이버 보안 시스템 구축 의무화를 추진해야 한다”며 “보안 위협에 선제 대처하기 위해 망분리와 보안 시스템 구축이 요구된다”고 말했다.
처벌 강화를 위해 의료 기관을 개인정보보호법 관련 법령 적용 대상으로 바꿔야 한다는 지적도 있다.
대형병원은 개인정보보호법 안정성 확보 조치에 따라 개인정보처리시스템에 접속하는 개인정보취급 컴퓨터에 대한 외부 인터넷망을 차단해야 한다. 10여개 대형병원이 조사를 통해 적발됐음에도 비영리 단체인 탓에 관련 법령을 피해 미흡한 처벌을 받았다고 업계는 지적했다. 앞서 고객정보를 유출한 국내 이동통신사는 70억원대 과징금을 부과받았다.
환자 정보 보호 필요성은 커지고 있지만 의료기관이 수익성 악화에 허덕이는 탓에 시스템 구축을 위한 투자 여력이 없다는 평가도 많다. 대형병원·중견병원을 중심으로 망분리 구축이 시작됐지만, 2018년 기준 중앙대 의료보안연구소에 따르면 100~300병상 중소병원 300곳 중 네트워크 보안설비를 갖춘 곳은 17.3%에 그친다. 10곳 중 2곳은 PC 백신 SW만 도입한 것으로 조사됐다.
보안업계 전문가는 “대형병원에서 기본적인 보안 원칙도 지키지 않아 환자의 건강과 신체정보 등 민감한 데이터가 언제라도 유출될 수 있다”며 “사고 재발을 막기 위해 범정부 차원에서 계도와 제도 개선이 함께 필요하다”고 강조헸다.
임중권 기자 lim9181@etnews.com