'메일 오발송' 서울대병원, 1.6만명 환자정보 유출
앞서 국내 병원 정보유출 사고 잇따라
자체적인 정보관리 수준 높여야…보안인식 제고 필요
국내 의료기관 환자 정보가 유출되는 사고가 잇따르면서 정보 보안 인식 제고 필요성이 강조된다. 의료 정보가 환자 개인의 질병·처방·금융 등 민감 데이터를 담고 있는 만큼 보안 체계를 강화해야 한단 지적이다.
20일 의료계에 따르면 서울대병원은 지난 14일 내부 직원 간 이메일 발송 중 원내 산부인과 진료 환자 1만6000여명의 정보가 외부로 유출된 사실을 확인, 세부 경위를 조사 중이다. 메일에 첨부된 해당 정보가 암호화 처리된 상태로 발송됐는지 여부는 확인되지 않았다.
유출 정보는 주민등록번호와 휴대전화 번호를 제외한 △산모 이름·생년월일·직업·소득수준 △출산·유산 이력 △산모 질환·합병증 △신생아 성장·발달 평가 및 건강 상태 추적 기록 등 다수 민감 정보다. 병원 관계자는 "병원 직원이 내부망을 통해 다른 직원에게 메일을 보내던 중 주소를 잘못 입력해 벌어진 사고"라며 "인지 후 72시간 내 교육부·개인정보보호위원회(개보위)에 신고했고 문자·홈페이지 공지를 마쳤다"고 설명했다.
현재 서울대병원은 메일 수신자와 메일 서비스 운영자에게 해당 메일 삭제를 요청한 상태다. 이날 오후 현재까지 메일 수신자는 미수신 상태이며 삭제 조치는 이뤄지지 않은 것으로 전해졌다. 온라인 커뮤니티에선 "2011년 서울대병원에서 쌍둥이를 분만했는데 유출됐단 문자가 왔다" "아이들 정보를 포함한 진료 내용이 다 털렸다" 등 유출 상황을 우려하는 반응이 이어졌다.
환자 정보 유출 사례는 이번이 처음은 아니다. 앞서 강동성심병원은 2024년 공지를 통해 2018년 4~10월 모 제약사 영업직원이 환자가 사용하는 특정 약 정보가 담긴 PC 화면을 휴대전화로 촬영, 외부에 유출했단 사실을 뒤늦게 밝히기도 했다. 유출된 정보는 이름과 병원등록번호, 성별, 연령, 진료과 및 처방약품명이다. 2023년엔 국내 17곳 대학병원 내 환자 18만5271명의 정보가 유출된 사실이 개보위 조사에서 확인되기도 했다.
해킹 사례도 있다. 지난 1월 정부에 따르면 해킹 조직이 만든 해킹 포럼에서 국내 의료·교육기관, 온라인 쇼핑몰 등의 내부 데이터를 탈취·판매한 사실이 확인됐다. 같은 달 전남대병원과 강원대병원은 원내 의료영상저장전송시스템이 랜섬웨어(시스템을 마비시킨 뒤 금전을 요구하는 악성공격법) 공격을 받아 전산망이 일시 마비되기도 했다.
의료기관 보안체계 강화를 위해 정부 차원에서 관련 서비스를 지원 중이지만 사용률은 미미하다. 보건복지부 산하 한국사회보장정보원은 2018년 의료기관공동보안관제센터를 개소, 보안관제와 침해 대응 및 관련 교육 등을 제공 중이다. 그러나 이날까지 센터에 가입한 의료기관 수는 총 58곳(상급종합병원 24곳·종합병원 27곳·의원급 5곳·기타 2곳)에 그친다. 전체 가입 대상 의료기관의 10% 수준이다.
염흥열 순천향대 정보보호학과 명예교수는 기자와 통화에서 "상급종합병원을 중심으로 의무화된 정보보호관리체계 인증(ISMS)의 대상 병원을 확대할 필요가 있다"며 "ISMS 인증을 받으면 내부 정보 체계의 취약점 관련 보호 대책 등을 수립해야 하는데, 이러한 정보보호 관리 능력을 병원 자체적으로 향상시킬 수 있도록 제도가 개선돼야 한다"고 말했다.
