의료기관, 접속기록관리·암호화 등 안전성 조치 여전히 미흡

개인정보처리방침·주민번호 수집금지 관련 안내문구 등 전무

[보안뉴스 김경애] 최근 의료계는 잇따른 아랍권 수출 성사로 미소가 번지고 있다. 서울대병원과 분당서울대병원, 서울성모병원, 삼성서울병원 등 대형병원들이 중동 지역에 의료 서비스와 기술을 연이어 수출하고 있으며, 국내 의료환경을 접한 현지인들 사이에 한국 의료기관의 신뢰와 위상은 더욱 높아지고 있다.

더욱이 최근 몇 년전부터 중동 국가들과 협력 기반이 구축되고 있으며, 지난 10월에는 정부가 한국보건산업진흥원, 한국관광공사, 대한무역투자진흥공사(KOTRA), 한국국제협력단(KOICA), 한국보건복지인력개발원 직원 등 25명으로 구성된 범부처 차원 총괄기구인 ‘국제의료사업단’을 출범시키기도 했다.

악성코드 공격에 속절없이 당하는 의료계 ‘심각’

그러나 승승장구하는 의료계의 해외 진출성과와는 달리 개인정보보호 실태는 위험수위를 넘어 아슬아슬 위태롭기만 하다. 상당수의 개인, 약국, 기관, 대학병원 등에서 공인인증서 탈취 정황이 대거 드러났기 때문이다.

지난 31일 빛스캔(대표 문일준)에 따르면 의료뉴스 사이트를 통해 악성코드가 유포된 정황이 포착됐다며, 특정 프로그램 기능에서 해당 사이트의 컨텐츠를 전송해 보여주는 등 웹서핑 없이도 추가 감염이 이뤄지고 있다고 밝혔다.

의료뉴스 사이트를 통해 유포된 악성코드는 공인인증서 탈취와 원격제어가 가능한 기능이 있으며, 실시간 서버 통신을 통해 개인정보가 공격자의 서버로 전송되고 있는 것으로 드러났다.

특히 악성코드 유포 후, 홈페이지의 보안조치가 완료됐음에도 불구하고, 각종 인증서가 서버로 업로드되고 있었던 것이 드러났다. 이와 관련 빛스캔 관계자는 “악성코드에 감염된 상당수의 PC가 적절한 조치가 안된 것으로 추정되며, 인증서가 유출된 폴더 내부에는 개인용 인증서도 함께 포함돼 있다. 일부는 의료정보 기록에 접근할 수 있는 EMR 인증서도 확인됐는데, 이를 공격자가 악용한다면 또 다른 심각한 상황이 발생할 수 있어 빠른 조치가 필요하다”고 지적했다.

이처럼 공격자는 손쉽게 정보를 탈취하기 위해 홈페이지를 이용하고 있는 반면, 의료기관의 경우 악성링크에 대한 초기 대응·차단이 제대로 이루어지지 않고 있는 실정이다. 게다가 연관되어 있는 프로그램으로 인해 사용자의 추가 피해 우려가 커지고 있으며, 최초 다운로드된 악성파일을 백신이 탐지하지 못한 것으로 드러나 문제가 더욱 심각하다.

그럼에도 불구하고 정보보호 강화를 위한 국내 의료계의 관심은 여전히 뒷전이다. 지난 2월 의사협회 8만명, 치과의사협회 5만6천명, 한의사 협회 2만명 등 총 15만 6천명의 개인정보 유출사고가 발생한 데서도 알 수 있다. 또한, 그로부터 2개월 후인 지난 4월에는 국내 대형병원의 임상실험센터 웹사이트가 해킹돼 악성코드 유포지로 악용된 전력이 있어 웹사이트 관리에 비상이 걸린 바 있다.

의료계 안전성 확보조치 허술로 개인정보 ‘무방비’  

이렇게 유출된 의료기관의 개인정보는 암시장에서 가장 각광받는 고급정보로 다른 개인정보에 비해 비싼 가격에 거래되고 있다. 주민번호는 기본이고, 건강보험정보, 검사정보, 진료정보, 진단정보, 사망기록정보, 진료비를 결제한 카드결제 정보 등 무수한 개인정보가 수집되고 있는 만큼 암시장에서 가장 선호하는 고급정보라는 것.

하지만 의료기관은 이렇듯 심각한 상황임에도  별 아랑곳하지 않는 분위기다. 개인정보처리자는 개인정보가 분실·도난·유출·변조·훼손되지 않도록 개인정보보호법 제29조(안전조치의무)에 따라 안전성을 확보해야 하고, 이를 위반할 경우 3천만원 이하의 과태료가 부과된다.

그러나 한국보건사회연구원에서 조사한 개인정보 안전성 확보조치 수행실태에 따르면 접근권한 내역기록 등을 최소 3년간 보관하는 병원은 49.5%, 의원은 21%에 불과한 것으로 집계됐다.

이어 취급자의 접속기록을 6개월 이상 보관 및 관리하는 곳은 병원 45.7%, 의원 16.2%로 조사됐다. 특히 점검 및 후속조치의 경우, 병원 40%, 의원 15.2%로 상당히 미흡한 것으로 집계됐다.

암호화 조치 미흡도 마찬가지다. 고유식별정보의 경우 병원 59%, 의원 19.2%로 상당수의 의료기관에서 암호화 조치를 하고 있지 않으며, 바이오정보는 병원 13.3%, 의원 10.5%로 집계됐다. 비밀번호는 병원 69.5%, 24.8%로 개인정보보호가 허술하다는 점이 여과 없이 드러났다.

오프라인에서도 개인정보보호는 ‘뒷전’

그렇다면 오프라인에서의 개인정보보호 실태는 어떨까? 본지가 서울·강원지역 대학병원, 개인병원 일부에 대한 실태조사 결과, 주민번호 수집과 관련한 사전동의 안내 문구는 물론이고 어떻게 개인정보를 수집·보관·저장·파기하는지 등 처리에 관한 안내 등이 전혀 이뤄지지 않고 있이었다. 뿐만 아니라 지난 8월 7일 개정된 주민번호 수집금지 관련 홍보문구 또한 단 한 곳도 찾아볼 수 없었다.

오히려 본인확인이라는 명분 아래 예약환자, 내원환자에게 주민번호, 생년월일, 이름을 기재해야 하는 기록지를 내밀거나, 의료기관의 경우 2015년 2월 6일까지로 주민번호 수집금지 유예기간이 미루어졌다는 핑계 등을 내세워 전혀 개선의지를 보이지 않고 있다. 이는 개인정보보호에 대한 인식 부족을 단적으로 보여준 사례라고 할 수 있다.

반면 해외는 의료기기 산업 발전에 따라 보안 및 방어체계 강화에도 적극 나서고 있다. 美 식품의약국은 환자들의 정보를 안전하게 보호하기 위해 새로운 산업 가이드라인을 발표했다. 주요 내용은 △자원, 위협, 취약점 파악 △해커가 위협요소나 취약점을 공략했을 때 최종사용자에게 미치는 영향 펑가 △위협이나 취약점이 공략될 가능성을 평가해 등급 정하기 △리스크 수준과 충격감소 전략 구축 △잔여 리스크와 리스크 수락 판별 기준을 정립 등으로 이를 의료 분야 담당자들에게 적극 홍보하고 있다.

이처럼 해외와 비교해봐도 국내 의료계의 개인정보보호 실태는 매우 심각한 수준이다. 이와 관련 법무법인 민후의 김경환 대표변호사는 “기본적으로 개인정보를 비롯해 민감정보까지 수집하고 있지만, 개인정보보호를 위한 움직임은 현저히 부족한 상태”라며 “개인정보보호에 대한 기본적인 인식은 물론이고, 개선의지 부족으로 법을 위반하는 사례도 비일비재하다”고 지적했다. 또한 감독기관의 실태조사 및 관리감독도 제대로 이뤄지지 않고 있다고 우려했다. 

얼마 전 많은 이들에게 충격을 안겨준 신해철 씨의 사망이 의료사고일 가능성이 높아지면서 의료계에 대한 불신도 커지고 있다. 여기에다 보안 및 개인정보보호 미흡으로 인증서 등 각종 정보들이 탈취된 정황까지 밝혀지면서 의료 서비스 수출 호조로 기세등등했던 의료계의 고질적 문제들이 백일하에 드러나고 있다.   

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>