[보안뉴스 민세아] 지난 2월 7일부터 불법적인 주민번호 수집행위에 대한 본격적인 단속이 시작되면서 개인정보 수집뿐만 아니라 기존에 수집된 개인정보의 보관 및 파기조치에 대한 관심도 높아지고 있다. 이러한 가운데 진료기록을 포함한 환자 개인정보 1만3천여 건이 들어 있는 하드디스크가 고물상에 버려진 채 발견돼 충격을 주고 있다.

본지에 이 사실을 알린 제보자는 컴퓨터 부품을 등을 찾으러 가끔 들리는 고물상에 갔다가 해당 하드디스크를 발견한 것으로 알려졌다. 제보자에 의하면 쓸만한 하드디스크를 고물상에서 발견해 가져온 후 PC에 연결하자, 1만 3천여명에 이르는 환자의 민감정보를 포함한 엄청난 양의 파일이 있었다는 것. 

해당 하드디스크에는 진료환자의 집 주소, 전화번호, 주민번호가 포함된 개인정보 및 진료정보가 적혀 있는 DB파일, 환자 얼굴과 치료받은 환부사진 등 민감정보에 포함되는 개인정보가 대거 포함돼 있었다. 뿐만 아니라 병원 임직원의 재직증명서, 약 구입목록, 병원과 함께 운영하는 것으로 보이는 피부관리실의 매출정보까지 상세히 기록된 것으로 나타났다.  

그나마 다행스러운 건 고물상에 버려졌던 하드디스크가 제보자에 의해 발견됐고, 본지에 의해 안전하게 회수되면서 외부로 유출되는 2차 피해가 발생하지 않았다는 점이다. 하드디스크 안에 담겨 있던 민감정보가 외부로 유출됐을 경우 피해당사자들은 2차 범죄의 타깃이 되거나 인터넷 등에 유출되어 심각한 정신적 고통을 당할 가능성이 높아지기 때문이다.   

본지 취재결과 해당 하드디스크는 폐업한 병원의 실수로 고물상에 넘겨진 것으로 알려졌다. 신형 PC로의 교체를 마친 구형 PC의 하드디스크를 파기하지 않고 창고에 보관하고 있다가 폐업시 집기류를 정리하면서 실수로 고물상에 넘겨졌던 것이다.  

이번 사건은 개인정보의 파기 중요성을 다시 한번 일깨운 사건이기도 하다. 개인정보보호법 제21조 개인정보의 파기 조항에는 해당 개인정보가 불필요하게 됐을 때는 지체없이 그 개인정보를 복구 또는 재생되지 않도록 파기해야 한다고 규정돼 있다.   

또한, 제29조 안전조치의무에 따라 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다.  

최근 경기가 어려워지면서 병의원, 한의원들의 폐업도 급증하는 것으로 알려졌다. 이러한 가운데 고물상에 버려진 환자정보가 발견되면서 의료 분야의 개인정보보호 실태에 심각한 경고등이 울렸다. 

금융, 통신, 쇼핑몰 분야의 경우 대규모 개인정보 유출사건을 겪었거나 자체적인 보안강화 노력으로 개인정보보호 수준이 한층 업그레이드된 게 사실이다. 그러나 아직까지 개인정보보호의 사각지대로 지적됐던 대표적인 분야 가운데 하나가 바로 의료 분야였다. 결국 이번 사건으로 외부로 알려지지 않은 채 내부에서 곪을대로 곪았던 의료 분야의 치부가 백일 하에 드러나게 됐다. 

이에 본지는 이번 사건을 계기로 민낯이 드러난 의료 분야의 개인정보보호 실태와 향후 대안을 집중 조명할 계획이다.    

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>