[긴급진단]“도둑맞은 내 의료정보, 누가 책임지나요”

의료전산망 악성코드 급증…국립대병원 보안도 기대이하

접근 통제·수탁회사 관리 등 정보 보호 더욱 강화해야

개인의료정보의 중요성에 비해 보안시스템은 지나치게 미흡하다는 목소리가 높다. 이는 최근 빈번해진 의료정보유출사태가 도화선이 됐다. 다국적 의료정보업체 IMS헬스코리아는 수십억건의 의료정보유출혐의로 법정소송 중이며 건강보험공단은 지난해 97차례의 내부자료 무단열람 및 유출로 논란을 빚었다.

의사협회, 한의사협회, 치과의사협회도 협회 내 개인정보가 유출되면서 큰 파문을 일으켰다. 개인의료정보는 신체특징, 과거·현재의 질병상태, 성생활 내용까지도 알 수 있다는 점에서 유출될 경우 다른 정보에 비해 피해가 심각하다.

그래픽 I 이은지 기자

특히 의료기관은 환자건강상태, 병력 등 민감한 의료정보뿐 아니라 주민등록번호 등 고유식별번호, 신용카드·계좌번호 등 다양한 개인정보를 처리하고 있어 더욱 주의가 필요하다. 대한의사협회 강청희 부회장은 “환자질병정보가 제약사, 보험사 등에 유출되면 엉뚱한 불이익을 받을 수 있어 철저히 관리해야한다”고 강조했다.

하지만 국내 개인의료정보관리는 중요도에 비해 부실하기 그지없다. 국회 교육문화체육관광위원회 안홍준 의원(새누리당)이 교육부로부터 제출받은 ‘대학병원 정보보호수준 진단결과’에 따르면 전국 13개 국립대병원 전산망보안수준은 평균 80.6점에 그쳤다. 전북대병원이 97점으로 가장 높았지만 80점 이하가 13곳 중 6곳이었다.

또 의료기관 홈페이지를 취약하게 만드는 악성코드도 매년 늘고 있다. 국회 미래창조과학통신위원회 권은희 의원(새누리당)이 한국인터넷진흥원에서 받은 자료에 따르면 국내 의료기관 홈페이지 중 악성코드가 발견된 곳은 2013년 28곳에서 2014년 262곳, 올해 7월 기준 155곳으로 매년 증가세를 보이고 있다. 더욱이 국내 요양기관 총 8만6627곳 중 7만9536곳(92%)이 보안에 취약한 것으로 드러났다.

더욱 심각한 문제는 국민 대다수가 개인의료정보의 중요성을 인식하고 있는데도 정작 이를 다루는 기관의 인식이 턱없이 부족하다는 점이다. 개인정보보호협회 ‘개인정보의 가치와 개인정보 침해에 따른 사회적 비용분석’ 보고서 내 설문조사에 따르면 개인의료정보는 성명, 주소, 아이디 및 패스워드 등 기본인적사항만큼 중요하다는 답변이 많았다.

이에 따라 국회도 개인정보보호법을 시행, 주민등록번호 수집금지 등 개인정보수집·이용을 한정해놨으며 제3자 제공이나 공유도 제한했다. 의료기관도 의료법 제21조에 따라 본인 이외에는 의료정보를 열람·복사할 수 없도록 조치했다. 법무법인 나눔 이동길 변호사(대한의원협회 법제이사)는 “의료정보는 의료법과 개인정보보호법이 모두 적용된다”며 “의료정보는 개인의 민감한 정보라는 점에서 이중으로 보호되는 것”이라고 설명했다.

그렇다면 의료기관이 정보보호를 강화하기 위해서는 어떻게 해야 할까? 우선 의료정보 접근권한 강화, 접근통제시스템 설치, 개인정보암호화 등 기술적 조치가 이뤄져야 한다. 또 개인의료정보 관리책임자를 둬야 한다.

특히 대부분의 의료기관이 IT수탁사(개인정보처리시스템 개발·유지보수·운영을 위탁받아 대행해 주는 소프트웨어사업자)에 정보관리를 맡기고 있어 평상시 이들의 운영실태를 점검할 필요가 있다. 행정자치부에 따르면 개인정보유출사고의 대부분이 IT수탁사의 처리과실이나 부주의로 인해 발생한 것으로 알려졌다.

이밖에도 외부망으로 접근할 때 사용자인증을 실시하고 이 과정에서 접근장비에 대한 IP도 관리해야 한다. 그래야 외부접근을 막고 만일의 유출사태에도 접근경로를 찾을 수 있다. 행정자치부 개인정보보호과 조성환 과장은 “개인정보유출을 막기 위해서는 IT수탁업체들의 관리실태 개선이 중요하다”며 “IT수탁사들은 한층 더 개인정보보호 가이드라인을 준수하려는 노력을 기울여야 한다”고 강조했다.

또 스스로 자신의 의료정보를 지키려는 자세도 중요하다. 먼저 개인의료정보수집 시 동의를 받는지, 폐쇄회로(CC)TV가 설치됐다면 안내판이 있는지 등을 살펴봐야 한다. 또 홈페이지에 개인정보처리방침 공개여부와 개인정보보호책임자를 지정했는지도 확인하는 것이 좋다. 대한의사협회 의료정책연구소 김한나 연구원은 “최근 디지털화된 의료정보가 다른 목적으로 쓰이는 경우가 빈번한 만큼 더욱 정보보호를 위해 노력해야 한다”고 말했다.

<헬스경향 황인태 기자 ithwang@k-health.com>