심평원 2015년 자율점검 서비스 분석...양호 6.3% 불과
수탁업체 미교육·개인정보 암호화 위반...과태료 최고 5000만원
병원급 의료기관의 약 1/3은 안전한 비밀번호 작성규칙 조차 만들어 놓지 못할 정도로 개인정보보호법에 취약한 상태인 것으로 드러났다. 당장 현 상태에서 행정자치부가 현장점검에 나설 경우 개인정보보호법 위반으로 수천만 원의 과태료 처벌을 피할 수 없어 개인정보 보호에 대한 민감도를 높여야 할 것으로 보인다.
이영곤 건강보험심사평가원 정보통신실 부장은 26일 아주대병원에서 열린 의료기관 개인정보 보호 정책토론회에서 2015년 요양기관 자율점검 서비스 분석결과를 공개했다.
의원급을 제외한 2897곳 요양기관을 대상으로 개인정보보호 실태를 자율적으로 점검한 결과, 양호는 6.3%(183곳)에 불과했다. '개선 필요'가 67.3%(1950곳)로 가장 많았고, '취약'은 26.4%(764곳)에 달했다.
종합병원의 32.9%(237/78곳)가 '취약하다'고 답했으며, 병원의 28.2%(1132/319곳), 요양병원의 23.5%(1132/266곳)도 '취약'을 손꼽은 것으로 파악됐다.
반면 '양호하다'는 응답은 상급종합병원이 19.4%(31/6곳)였으며, 종합병원 3.4%(237/6곳), 병원 5%(1132/57곳) 등에 불과했다.
취약 항목은 ▲의료정보 및 청구프로그램을 위탁 관리하는 수탁자에 대한 교육 및 처리 현황 점검 등 관리·감독 부실 ▲개인정보처리시스템의 접근권한 부여·변경·말소내역 기록관리 최소 3년 보관 ▲컴퓨터(PC)에 저장된 개인정보 암호화 ▲개인정보 외부 송수신시 암호화 ▲접속기록 위·변조 및 도난·분실 방지를 위해 안전한 보관 ▲개인정보 보호책임자의 교육 및 관리·감독 역할 수행 여부 ▲안전한 비밀번호 작성규칙(영문+숫자+특수문자 포함 8자 이상) 적용 등을 손꼽았다.
이 부장은 "의료기관의 취약한 개인정보보호 문제를 해소하기 위해 2015년부터 자율점검서비스를 매년 실시하면서 요양기관 진료내역 DB(주민등록번호 등) 암호화 모듈과 요양기관 홈페이지 노출진단(민감정보) 서비스와 PC용 백신프로그램을 제공하고 있다"면서 "앞으로도 의료기관 현실에 맞는 가이드라인과 자율점검을 지속적으로 지원하고, 청구 소프트웨어 개인정보보호 관련 인증을 강화할 계획"이라고 밝혔다.
"의료기관 의료정보화 실태를 조사한 결과, 병원급에서 전산부서를 갖추고 있는 곳은 33.7%에 불과하고, 전체 전산부서 근무인력수도 5명 미만이 90.5%에 달할 정도로 인력이 부족한 것으로 파악됐다"고 언급한 이 부장은 "의료기관이 개인정보보호법을 지킬 수 있도록 정보관리 수수료 신설 방안을 보건복지부에 건의하겠다"고 덧붙였다.
주민등록번호 암호화 조치 안하면 3000만 원 과태료
이날 토론회에서 '의료기관 개인정보 보호의 법률적 문제'에 대해 주제발표한 구태언 변호사(태크앤로 법률사무소)는 "대한약사회 산하 약학정보원이 환자 진료·처방 정보 7억 4000만건을 불법으로 수집·판매하다 개인정보보호법 위반 혐의로 기소되는가 하면 SK텔레콤이 환자의 동의없이 의료기관에서 발급한 처방전을 약국으로 전송하는 과정에서 외부 서버에 진료기록을 보관하다 의료법에 저촉되는 사태가 발생하면서 개인정보 보호에 관한 국민의 관심이 높아지고, 처벌이 강화되고 있다"면서 "법령을 위반할 경우 과태료는 물론 형사처벌까지 받을 수 있고, 양벌규정에 따라 의료기관장과 법인대표도 처벌이 가능하다"고 지적했다.
구 변호사는 "의료기관 홈페이지는 최근 3년간 1261건이 악성코드에 감염된 것으로 조사될 정도로 해킹에 취약하다"면서 "올해 초 전국 종합병원 20곳을 대상으로 관리실태를 현장점검한 결과, 85%(17곳)에서 총 37건의 위반사례가 적발될 정도로 개인정보를 제대로 관리하지 않고 있다"고 지적했다.
의료기관의 개인정보 보호 수준을 강화하기 위해 행정자치부는 개인정보보호법을 개정, 지난 6월 12일 43개 상급종합병원에 대해 정보보호관리체계(ISMS) 인증을 의무화한 데 이어 9월 30일부터 민감정보 안전성 확보조치를 의무화했다.
이에 따라 민감정보(진료정보)를 다루는 의료기관은 안전성 확보에 필요한 기술적·관리적·물리적 안전조치를 명확하게 명시해야 하며, 방화벽·침입 탐지 시스템을 갖춰 개인정보 유출 시도에 대한 탐지는 물론 대응 체계까지 세워야 한다.
100만 명 미만의 주민등록번호를 관리하는 의료기관은 올해 12월 31일까지 암호화 조치를 해야 하며, 100만 명 이상 의료기관은 2017년 12월 31일까지 암호화 조치를 완료해야 한다. 이를 이행하지 않으면 최대 3000만 원의 과태료 처분을 받게 된다.
개인정보 안전성 확보조치를 위반하면 최대 5000만 원의 과태료 처벌을 받을 수 있고, 양벌규정에 따라 의료기관장이나 법인 대표에게도 벌금형을 부과할 수 있다.
실제 행자부가 더불어민주당 정춘숙 의원에게 제출한 개인정보보호법 위반 의료기관에 대한 처벌 사례를 보면 환자의 동의를 받지 않은 채 개인정보를 수집한 위반한 건에 대해 1000만원 과태료 처분을 했다.
의료기관 홈페이지에서 탈퇴한 회원 정보를 파기하지 않거나, 보유기간을 경과했다는 이유로 600만원의 과태료 처분을 받은 병원도 있다.
김용학 행정자치부 개인정보보호정책과 팀장은 "모든 공공기관과 5만 명 이상의 고유식별정보를 처리하는 자에 대해 9월 30일부터 2년 마다 1회 이상 정기적으로 현장조사를 실시하도록 안전성 확보 조치에 대한 규정을 강화했다"면서 "규모가 있는 의료기관은 정기조사 대상에 포함될 것"이라고 밝혔다.
"하지만 전국 360만 개 사업장에 대해 개인정보의 기본 원칙을 알리고, 지키도록 이끌어 나가는 것은 물리적으로 어려움이 있다"고 언급한 김 팀장은 "민간분야의 개인정보보호 자율규제 체계를 구축하기 위해 '개인정보보호 자율규제 단체 지정 등에 관한 규정'을 고시했다"면서 자율규제 활동에 무게를 실었다.
행자부·개인정보보호위원회·보건복지부·교육부 등 소관부처와 한국인터넷진흥원·관계 전문가들로 구성한 '자율규제협의회'는 각 협회·단체의 신청을 받아 자율규제단체를 지정, ▲개인정보 보호 교육 및 홍보 활동 ▲개인정보 보호 자율규제 규약 제정 ▲개인정보 자율점검 및 컨설팅 ▲개인정보 보호 관리시스템 설치·운영 등을 통해 소속 사업체의 개인정보 처리 실태를 점검, 미흡한 점을 개선할 계획이다.
구태언 변호사는 "개인정보보호 법령을 강화하는 흐름에 따라 행자부·보건복지부의 현장점검이 지속될 것으로 전망된다"며 "의료기관들은 개인정보가 유출될 경우 신뢰 회복이 불가피할 수준으로 떨어질 수 있고, 사회적 파장도 감수해야 하는 만큼 보다 적극적으로 개인정보 보호 조치를 취해야 한다"고 조언했다.
"병원장이나 법인 대표의 경우 상당한 주의·감독을 해야 양벌규정에 따른 처벌을 피할 수 있다"면서 "최소한의 개인정보 보호체계 구축과 임직원에 대한 개인정보 보호교육이 필요하다"고 밝혔다.
이날 토론회에서는 정보 유출 문제를 우려하는 목소리도 나왔다.
좌혜선 한국소비자단체협의회 사무국장(변호사)은 "약학정보원의 IMS헬스코리아 사건의 경우 4490만 명의 환자 정보가 미국 본사에 넘어갔다"면서 "미국 하버드대 연구팀이 이 데이터를 익명성 실험으로 풀어내 6만 여개의 주민등록번호를 복구한 연구결과를 발표하면서 한국의 주민등록번호를 바꿔야 할 것이라는 조언을 했다"고 지적했다.
좌 사무국장은 "정부는 비식별화 가이드라인을 통해 건강보험 빅데이터를 누구나 이용할 수 있도록 하겠다고 발표했지만 암호 해체 가능성과 민감한 개인정보 유출 문제가 우려된다"며 비식별화 조치에 대한 반대 입장을 분명히 했다.