[치과신문_신종학 기자 sjh@sda.or.kr] 비급여 진료비 공개 및 보고의무와 관련해, 의료기관이 보건복지부에 제출해야하는 진료내역 등이 개인정보 범주에 포함이 되는지, 의료정보를 포함한 개인정보를 강제로 수집하는 것이 헌법에서 보장하고 있는 개인정보자기결정권을 침해하는지 여부가 이슈로 떠오르고 있다.

바로 지난달 19일 헌법재판소가 진행한 의료법 42조의2 제1항 및 2항에 대한 위헌소송의 공개변론에서 이 문제가 쟁점으로 부각됐기 때문이다. 이에 의료기관이 가지고 있는 막대하고, 민감한 의료·개인정보에 대한 보호책과 현황, 그리고 보호 실패에 따른 기관 및 소비자 피해의 심각성이 재인식되고 있는 상황이다.

의료·개인정보 유출 사건 갈수록 증가

의료·개인정보 유출 관련 대표적인 사건으로는 지난 2013년 대한약사회 산하 약학정보원이 개발한 ‘PM2000’의 개인정보 유출 건을 들 수 있다. 이 프로그램에 등록된 환자, 의사 개인정보 수십억 건이 한국IMS헬스로 넘어간 사건이다. 한국IMS헬스는 정보제공 대가로 약학정보원에 수십억 원을 지불한 것으로 알려졌다.

최근에는 대학병원에서 20만명이 넘는 환자들의 개인정보가 유출되기도 했다. 지난해 경찰 수사에 따르면, 약 20만명의 환자 처방기록 약 32만6,000건이 유출됐는데, 유출된 정보에는 환자 이름을 비롯해 주민등록번호, 처방내역, 정신병원 수용사실 등  민감한 의료정보가 포함됐다. 이에 경찰은 17개 대형병원 관계자 27명, 제약사 직원 23명을 개인정보보호법 위반 혐의로 서울중앙지검에 송치한 바 있다.

이 밖에도 의료기관의 환자 의료·개인정보 유출 관련 사고는 악의적이든, 시스템적 결함이든 지속적으로 증가하고 있으며, 그 심각성이 더해지고 있다. 의료·개인정보 유출문제는 국내뿐아니라 미국 등 선진국에서도 매우 예민한 문제로 다뤄지고 있으며, IT기술이 발달하고 보안시스템 또한 다양하게 개발되고 있지만, 시스템 결함에 의한 유출은 여전히 심각한 수준인 것으로 나타났다.

미국, 개인정보 수백만명 유출도

한국인터넷진흥원(KISA)이 지난 2020년 12월 발간한 ‘해외 의료 개인정보 침해 사건 사고’ 수시보고서에 따르면, 미국의 경우 해커나 내부 직원의 악의적 의료·개인정보 유출뿐만 아니라 IT 및 업무 프로세스 오류 등 ‘시스템 결함’, 직원의 부주의나 외주업체의 의도치 않은 ‘인적오류’로 인한 정보 유출이 심각한 수준인 것으로 나타났다.

이 보고서는 미국의 시스템 결함으로 인한 의료·개인정보 유출 사례를 집중 분석했다. 미국의 의료보험서비스업체인 Beaumont Health는 지난 2020년 4월 11만2,211명의 데이터가 유출됐다는 사실을 미국 보건복지부에 통지했다. Beaumont사 자체조사에 따르면, 잠재적으로 유출 가능성이 있는 데이터에는 이름, 연락처, 진단, 치료위치, 의료기록번호, 처방내역, 치료, 사회보장번호, 금융계정 데이터, 건강보험정보, 운전면허증 등이 포함됐다.

또한 의료기관 FOI(The Florida Orthopaedic Institute)는 지난 2020년 7월 64만명의 개인정보가 시스템 결함으로 유출됐다. FOI는 자체 서버에 저장된 암호화된 데이터에서 랜섬웨어 공격이 발생한 것을 발견했고, 이는 시스템 결함을 악용한 공격이 이뤄진 것으로 추정됐다. 유출된 환자의 개인정보에는 앞선 사건과 마찬가지로 세밀하고 민감한 정보가 다수 포함됐다.

또 다른 미국 의료기관 Behavioral Health Network(BHN)에서는 지난 2020년 7월 12만9,571명분의 데이터가 유출됐다. 이는 바이러스로 인한 사고로, BHN의 파일에 대한 액세스가 차단되는 피해를 입었고, 특정 BHN 시스템의 작동을 방해하는 악성 코드가 배치됐다. 시스템의 취약점을 통해 승인되지 않은 행위자가 특정 시스템에 대한 액세스 권한을 얻은 사실도 추가로 확인됐다.

보고서에서 확인했듯이 의료·개인정보 침해 사고는 시스템 결함과 인적 오류 등 의도치 않게 발생할 수 있다. KISA 측은 이 보고서에서 “특히 의료 분야 정보유출 사고의 경우 환자의 기본적인 개인정보와 진료정보는 물론, 보험이나 결제와 관련된 금융정보 및 사회보장 정보 등의 다양한 데이터에 영향을 받을 수 있는 반면, 금융 분야에 비해 정보보호 투자가 적극적으로 이뤄지지 않아 취약점으로 작용하고 있다”고 밝히면서 “데이터 활용이 확산되는 상황에서 개인정보 침해 사건은 간헐적으로 발생하는 ‘사고’ 또는 ‘변수(變數)’라기보다는 일상적이고 항시적인 대응 및 예방이 필요한 ‘상수(常數)’라는 점에 주목할 것”을 강조했다.