유비케어, 불특정 개인질병정보 접근·수집에 판매까지
판매수익 한해 최소 25억원 이상 병의원 PC 제맘대로 들락날락
Cover Story
병의원 청구소프트웨어 업체인 유비케어가 환자의 동의없이 환자 질병정보에 접근해 선별수집한 데이터를 판매까지 한 것으로 나타나 충격을 주고 있다.
환자 질병정보를 가공해 올린 수익만 한해 25억원 이상인 것으로 드러났다. 환자 질병정보에 접근하기 위해 자신들의 청구소프트웨어를 설치한 병의원 PC에 환자 질병정보를 전송하는 프로그램을 탑재하고 정기적으로 데이터를 전송받은 것으로 알려져 파문이 일 것으로 보인다.
환자 질병정보가 이렇게 무방비로 노출될 수 있음에도 관리감독의 책임이 있는 보건복지부가 보여 준 행태는 비난을 피하기 어려워 보인다.
진수희 보건복지부 장관은 "개인식별정보를 제외한 데이터를 제공한 것"이란 유비케어의 주장을 믿고 22일 열린 국정감사에서 "문제가 없는 것으로 보인다"고 답변했다. 식품의약품안전청은 심지어 유비케어가 환자의 동의없이 수집한 환자 질병정보를 이용하기까지 한 것으로 드러났다.
SK가 대주주로 있는 유비케어의 환자 질병정보 수집과 판매가 수면 위로 떠오른 것은 식약청이 지난 6월 전 세계적으로 안전성 문제가 제기된 비만치료제 시부트라민의 국내 처방현황을 알아보는 과정에서 우연히 불거졌다.
식약청은 유비케어가 환자 처방관련 데이터를 팔고 있다는 얘기를 듣고 유비케어에 처방관련 데이터를 요청한 후 한달 뒤인 7월, 2007∼2010년 병의원 600곳에서 처방된 9만 8027건의 시부트라민 처방내역을 제공받았다.
이후 식약청은 제품회수 조치를 발빠르게 내렸고 사태는 일단락됐지만 한낱 민간 청구소프트웨어업체에 불과한 유비케어가 방대하고 민감한 질병·처방데이터를 어떻게 구했을까에 대해서는 미처 생각하지 못한 것이다.
개인정보 '안'가져가는 것이지 '못'가져가는 게 아니다
과연 9만 8027건이나 되는 민감하고 방대한 처방데이터를 어떻게 구했을까? 유비케어는 환자 질병정보를 수집하는 과정에서 불법적인 행태가 없었다고 밝히고 있지만 수집과정을 살펴보면 그렇지가 않다.
유비케어가 관련 데이터를 빼내는 방법은 이렇다.
자신들이 판매한 청구프로그램인 '의사랑'안에 특정 프로그램을 심어놓고 의사가 환자정보와 처방데이터를 입력하면 유비케어가 원하는 데이터들만 선별해 자동으로 유비케어의 특정 서버에 쏘아 보내도록 하는 방식이다.
이 과정에서 유비케어는 개인식별정보를 제외하고 데이터를 전송하기 때문에 전송받은 질병정보는 개인정보가 아니라고 주장하고 있다. ‘공공기관의개인정보보호에관한법률’을 보면 “개인정보라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명·주민등록번호 및 화상 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보”라고 규정하고 있다.
만일 유비케어가 개인식별정보가 담긴 데이터를 가져 온 후 개인식별정보를 제외하고 데이터를 팔았을 경우, 개인식별정보를 빼고 제공했더라도 개인정보유출로 인한 처벌을 피하기 어렵다.
그럼 유비케어의 주장대로 개인식별정보를 제외하고 전송받은 경우는 어떨까?
유비케어가 개인식별정보가 담긴 질병정보에 마음대로 접근할 수 없고, 개인식별정보를 국가와 같은 공공기관이 분리해 유비케어에게 전달하는 구조라면 유비케어의 주장은 일리가 있다.
하지만 유비케어는 병의원의 PC에 저장된 개인식별정보가 담긴 질병정보에 언제든 접근할 수 있고 데이터 중 무엇을 전송할 것인지 결정할 수 있다. 한마디로 유비케어의 주장을 믿더라도 개인식별정보가 담긴 데이터를 '안'가져 오는 것이지 '못'가져 오는 게 아니라는 말이다.
그런데 놀라운 사실은 유비케어가 질병정보를 가져오는 이런 일련의 과정에서 이를 감시할 그 어떤 사회적인 견제 장치가 전혀 없다는 거다.
오로지 감시는 역시 유비케어만이 한다. 설사 유비케어가 내부 유출사고를 감지하더라도 회사에 큰 손실을 끼칠 수 있는 유출사고를 공개하리라고 기대하기는 어렵다.
유비케어가 접근할 수 있는 데이터들은 비급여데이터까지 포함하고 있어 준국가기관인 국민건강보험공단이나 심사평가원이 보유하고 있는 급여데이터들보다도 훨씬 민감하고 완전한 데이터다.
유비케어가 접근할 수 있는 정보와 비교해 볼때 반쪽짜리 정보에 불과한 데이터를 취급하는 심평원도 내부감사는 물론, 외부감사인 국정감사·감사원 감사까지 받아야 하는데도 유출·열람사고가 끊이지 않는 사실에 비춰보면 불법적인 과정이나 유출사고 등이 지금까지 전혀 없었다는 유비케어의 주장은 곧이곧대로 믿기 어렵다.
유비케어는 병의원의 PC에서 질병정보를 가져갈 때 병의원장들의 동의를 얻었기 때문에 문제가 없다고 주장하지만 이는 결코 책임있는 기업의 모습이 아니다. 오히려 데이터 유출의 책임을 병의원에 넘기려는 의도마저도 읽힌다.
우선 탑재된 프로그램이 보내는 데이터들에 어떻게 접근하고 데이터가 지속적으로 유출된다는 사실을 명확히 고지했는지는 회의적이다. 대부분 불완전 고지가 됐을 것으로 보인다.
이경권 변호사(법무법인 대세)는 “보험계약 관련 재판에서 보듯 정확한 고지와 절차가 이뤄지지 않았을 경우, 동의를 얻었다고 보지 않는 것이 판례”라며 “대부분 불완전 고지됐을 가능성이 높아 보인다”고 밝혔다.
더욱이 유비케어는 개별 PC의 IP를 추적할 수 있는 시스템을 이미 구축하고 있다. 마음만 먹으면 동의를 얻지 않은 모든 병의원의 PC에 들어가 환자 개인질병 정보를 볼 수 있고 가져갈 수도 있다. 이미 그런 시도가 있었다 하더라도 외부에서는 알 길이 없다.
민간업체 정보수집 통제할 사회적 안전장치 '부재'
유비케어가 팔고 있는 개인 질병정보가 유비케어의 소유물이라고 볼 수 있는지에 대해서도 법적 해석이 필요하다. 유비케어는 병의원 PC에 저장된 로데이터는 환자 것으로 볼 수 있지만 자신들이 데이터를 가공한 순간 데이터의 소유권은 자신들에게 있다고 주장한다.
그럼 유비케어가 환자의 로데이터를 가져오면서 무엇을 가공했을까? 고작 로데이터에서 자신들이 가져오고 싶은 데이터를 추출해 가져오는 것만으로 환자의 개인 질병데이터를 자신의 것이라고 주장할 수 있을까?
이경권 변호사(법무법인 대세)는 "환자의 개인정보는 환자의 것이라고 보는 게 선진국들의 대체적인 입법례"라고 말하고 “가져오고 싶은 데이터를 추출하는 것만으로 가공했다고 주장하는 것은 무리가 있다”고 반박했다.
환자의 질병정보가 환자의 것이라는 상식에 공감한다면 유비케어는 동의를 구하지도 않고 질병정보를 환자들로부터 편취한 것이 된다. 유비케어는 수년 동안 자신의 소유물도 아닌 로데이터를 기반으로 최소 몇십억원에서 100억원 이상의 수익을 올린 셈이다.
시부트라민 청구데이터 제공으로 불거진 유비케어 문제에는 이렇듯 상당히 복잡한 이슈들이 숨어 있다. 우선 민간 청구소프트웨어 업체가 아무런 사회적 통제없이 환자들의 질병정보에 무차별하게 접근할 수 있는 지금의 상황을 어떻게 개선해야 할지가 숙제다.
환자의 질병정보를 누구의 소유로 볼 것인가하는 것도 명확한 해석이 있어야 한다. 시부트라민 처방데이터 제공으로 불거진 '유비케어 게이트'는 이제 시작이라고 봐야 한다. 복지부의 무능으로 국정감사는 모면했더라도 앞으로 닥칠 파장은 만만치 않을 것으로 보인다. 누구보다 유비케어가 그 사실을 잘 알고 있을 것이다.
진료실 컴퓨터가 '해킹'되고 있다