연세세브란스병원, 가톨릭대학교 성모병원 등 과태료 부과 대상
병원·제약사 직원이 환자 정보 직접 촬영하거나 다운로드해 외부 유출하고 불법적인 접근도 감행

[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 26일에 진행된 전체회의에서 개인정보보호 법규를 위반한 국내 종합병원 17곳 △가톨릭대학교 서울성모병원·여의도성모병원·은평성모병원·의정부성모병원·부천성모병원·성빈센트병원 △건국대학교 충주병원 △고려대학교 안암병원·구로병원·안산병원 △순천향대학교 부속 서울병원 △세브란스병원 △한림대학교 성심병원·동탄성심병원·강남성심병원·한강성심병원 △강북삼성병원에 대해 과태료 부과 및 개인정보 처리실태에 대한 개선을 권고했다.


이번 조사는 경찰의 ‘의약품 판매질서 위반’ 관련 수사를 위한 ‘제약사 압수수색 과정’에서 환자정보 유출이 확인된 17개 종합병원의 유출 신고에 따라 이루어졌다.

조사 결과에 따르면 2018년 4월부터 2020년 1월까지 개인·민감정보가 포함된 총 185,271명의 환자정보가 유출된 것으로 밝혀졌다. 정보 유출 과정은 병원 직원 또는 제약사 직원에 의해 반출됐다. 이들은 병원 시스템에서 해당 제약사 제품을 처방받은 환자정보를 직접 촬영하거나 다운로드한 후 전자우편·보조저장매체(USB) 등을 통해 외부로 반출하거나 불법적으로 시스템에 접근해 환자정보를 입수하는 등의 방법을 시도한 정황이 드러났다.

개인정보위는 환자정보 유출에 가담한 병원 및 제약사 직원에게는 ‘개인정보 보호법’상 형사벌(벌칙)이 적용돼 경찰 등의 수사가 진행중인 점을 감안해 개인정보처리자로서 각 병원의 개인정보처리시스템상 안전성 확보조치 의무 위반을 중심으로 조사했다.

그 결과, 환자의 민감정보를 처리하는 개인정보처리시스템 운영과정에서 안전조치의무를 소홀히 하는 등 실제 법 위반 사실을 확인했다.


강북삼성병원을 제외한 나머지 16개 병원은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않거나 개인정보 다운로드 사유 등의 확인 및 접속기록에 대해 월 1회 이상 점검을 진행하지 않았다.

성심병원·동탄성심병원·강남성심병원·한강성심병원은 인사이동으로 개인정보취급자가 변경되었음에도 개인정보처리시스템에 대한 접근권한의 부여·변경·말소 내역을 3년 이상 보관하지 않은 사실이 드러났다. 추가적으로 순천향대 부속 서울병원과 건국대 충주병원과 동일하게 USB 등 보조저장매체 반출과 반입 통제를 위한 보안대책도 마련하지 않은 사실이 확인됐다.

또한, 강북삼성병원과 고려대 구로병원에서는 개인정보처리시스템 접속이 가능한 기기에 권한 없는 자의 물리적 접근이 가능한 취약점을 발견했다.

개인정보위는 “이번 조사·처분을 통해 의료데이터로서 사생활 침해 위험이 큰 민감정보를 대량으로 처리하는 종합병원의 개인정보 보호에 대한 인식 제고의 중요성이 대두됐다”면서, “이를 통해 개인정보처리자의 유출 사고 예방 차원에서 개인정보처리시스템 상시 점검·확인과 내부 구성원 대상으로 주기적인 개인정보 보호 교육 실시 및 지속적인 관리방향을 마련하는 계기가 되길 기대한다”고 전했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>