개인정보 보호 '사각지대' 병원…해킹 무방비

대형병원 52.4% 개인정보 안전조치 미흡…PC 관리 허술
중병협 학술세미나 '정보화' 주제…정보유출 예방대책 집중점검

▲ 13일 '정보화'를 주제로 열린 중소병원협회 학술세미나에서 각 중소병원 전산담당자들이 정보 보안에 대한 강연에 귀를 기울이고 있다.

개인정보 대량 유출사고가 잇따르면서 개인정보보호법을 엄격히 적용해야 한다는 여론이 거세지고 있다. 하지만 각 의료기관들의 개인정보 보호를 위한 안전 장치는 여전히 미흡한 실정이다.

지난해 9월 안전행정부와 한국정보화진흥원이 실시한 '개인정보 현장점검 결과'에 따르면 21곳 대형병원 가운데 52.4%(11곳)가 개인정보보호에 관한 법률을 위반한 것으로 파악됐다.

병원을 비롯한 기업체의 개인정보 보안업무를 맡고 있는 디에스엔텍의 김봉석 마케팅영업팀 과장은 13일 '정보화'를 주제로 열린 대한중소병원협회 학술세미나에서 "대형병원의 위반 비율은 금융(89.2%)·학원(80.0%)·협회 및 연맹(68.0%)·공공(66.2%)·운송업(63.0%)과 비교하면 낮은 수준이지만 병원이 보유하고 있는 정보는 환자들의 민감한 진료정보를 포함하고 있는 만큼 다른 산업분야에 비해 유출로 인한 피해가 더 클 수 있다"고 우려했다.

안행부의 점검 결과, 의료분야에서 주로 위반한 개인정보 보호법 관련 내용은 ▲동의시 필수 고지사항 누락 ▲고유식별정보 별도 동의 위반 ▲개인정보보호 책임자 미지정 ▲접근권한 관리의무 위반 등으로 파악됐다.

김 과장은 "비교적 규모가 커 개인정보 보호 인력과 예산을 투입하고 있는 대형병원이 이 정도라면 예산도 적고, 전문인력도 거의 없는 중소병원이나 의원급 의료기관들은 개인정보 보호의 사각지대일 가능성이 높다"고 지적했다.

"개인정보의 대량유출 사고가 빈번하게 발생하고 있지만 여전히 관리적·기술적 보호조치가 미흡하다"고 밝힌 김 과장은 "개인정보의 중요성에 대한 인식이 부족한 것도 큰 원인"이라고 지적했다.

통계청에 따르면 개인정보 침해신고 상담건수가 2009년 3만 5167건에서 2013년 17만 7736건으로 약 5배 가량 늘어났다. 그만큼 사업이나 마케팅 목적으로 개인정보에 대한 수요가 증가하고 있음을 의미한다.
하지만 의료기관의 개인정보 보안수준은 낮은 실정이다.

한국보건사회연구원이 지난해 조사한 병원급 의료기관의 개인정보 관리 현황에 따르면 보안프로그램 설치 및 업데이트는 92.%가 제대로 관리하고 있는 것으로 파악됐지만 ▲비밀번호 작성 규칙 수립 및 준수 여부(57.1%) ▲고유식별정보 암호화(59.0%) ▲바이오정보(13.3%) ▲비밀번호 암호화(69.5%) 등 암호화 수준은 낮은 것으로 조사됐다.

▲ 의료기관 개인정보 보호를 위해 진료정보 뿐만 아니라 원무과, 진료과, 병동간호, 진료지원, 행정부서 등에 설치돼 있는 PC의 정보관리도 중요한 관리 대상이다.

하호일 ㈜아이젝스 팀장은 "병원의 78%가 해킹이 쉬운 불법복제 소프트웨어를 사용한다는 조사결과가 있다"며 "불법 소프트웨어 사용으로 인해 악성코드가 유포될 경우 개인정보 유출을 막을 수 없다"고 지적했다.

실제 지난 5월 서울의료원 직원 및 환자 1249명의 주민등록번호 유출을 비롯해 지난해 8월 과 10월 불거진 병원의 진료정보 유출 사건은 해킹에 의한 것으로 드러났다.

하 팀장은 "업종별 데이터 침해 사고는 의료부분이 1위"라며 "PC에 저장된 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 취함으로써 환자와 가족들에게 안전하고 신뢰할 수 있는 의료서비스를 제공해야 한다"고 강조했다.

하지만 중소병원과 의원급 의료기관의 경우 대형병원처럼 많은 예산과 인력을 투입할 여력이 없는 것이 한계점으로 지적되고 있다.

이에 대해 중병협 관계자는 "개인정보 보호와 관련한 지침이나 자료는 개인정보보호 종합지원 포털(http://www.privacy.go.kr/)에서 내려받아 구비할 수 있다"며 "정보관리를 맡고 있는 직원이나 원장들이 더 부지런히 자가점검을 할 수밖에 없지 않겠냐"고 조언했다.

개인정보 보호 10원칙

1. 무분별한 개인정보 수집 자제
인터넷 쇼핑몰 등 대다수 업종은 물품을 구매하는데 있어 주민등록번호나 생년월일은 필요치 않다.
불필요하게 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 시 책임이 크게 증가하므로 서비스제공에 필요한 최소한의 개인정보수집이 현명하다.

2. 개인정보 수집 시 서비스 제공에 꼭 필요한 필수정보와 선택정보 구분
고객정보 수집 시 해당서비스 제공과 관련 없는 개인정보(생일, 결혼기념일 등)나 제 3자 제공 동의 여부는 고객이 선택적으로 입력할 수 있도록 하여야 한다.
선택정보를 고객이 입력하지 않았다고 해서 해당 서비스 제공을 거부하는 것은 과태료 3000만원 부과사항이다. 법적 분쟁 시 필수정보(해당서비스 제공에 필수적인 정보)와 선택정보가 적정한지 여부는 사업자가 입증책임을 부담한다.

3. 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지
고유식별정보와 민감정보는 ①정보주체의 별도의 동의 ②법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고는 처리(수집·관리)할 수 없으며, 수집하는 경우에도 다른 정보와 구분하여 별도의 동의를 받아야 한다.
수집 시 관련 법령에 근거가 있는지, 홈페이지 또는 서식에 일반정보와 구분하여 별도로 동의를 받고 있는지 살펴서 법 위반사례가 없도록 한다.

4.홍보·판매 목적으로 개인정보 위탁 시 고객에게 고지하고 철저히 관리
홍보·판매 목적으로 개인정보처리업무를 위탁할 때에는 해당 사실을 고객들에게 고지해야 한다. 또한 수탁자의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 한다.
위탁자는 수탁자를 관리 감독할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 한다.

5. 개인정보파일은 DB보안프로그램, 암호화소프트웨어 등 안전한 방법을 사용하여 보관
개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안전한 방법으로 보관해야 한다.
안전하게 보관하기 위해서는 DB 접근권한 제한, 백신프로그램 설치, 방화벽 등 침입차단시스템을 설치하고 필요한 보호조치를 취해야 한다.
※ 자료실 > 지침자료 > 개인정보의 안전성 확보조치 기준 고시 및 해설서 참조
※ 위탁하는 업무의 내용과 수탁자 고지(서면, 전자우편, 팩스, 전화, 문자 등의 방법)

6. 보관이 필요한 증빙서류는 법령에서 정한 보유기간 숙지하여 준수
고객의 개인정보가 담긴 계약서, 청약철회서처럼 보관하고 있지 않으면
불이익을 당할 수 있는 문서를 보관해야 하는 경우에는 법령에서 지정한
보유기간(전자상거래법의 거래기록 보존규정 등)을 숙지하고 이를 준수하는 것이 좋다.

7. 개인정보파일을 수집 당시 사용목적에 따라 이용한 후에는 알아볼 수 없도록 파기
개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는
문서를 분쇄하거나 소각해 파기해야 한다.
컴퓨터로 저장된 문서를 가지고 있는 경우라면 복원할 수 없는 방법으로 파기처리 한다.

8. CCTV에는 반드시 안내판 설치
민간에는 약 250만대 이상의 CCTV가 설치되어 있는 것으로 추정된다.
그동안 이에 대한 관리감독 근거법률이 없었으나, 개인정보보호법 제정으로 설치운영이 제한되며, 필요한 경우라도 반드시 설치 목적 등이 포함된 안내판을 설치하여야 한다.
또한 녹음기능 사용, 당초 설치목적을 벗어난 각도조절도 할 수 없다.
※ 안내판 기재사항 : 설치목적 및 장소, 촬영범위 및 시간, 관리책임자 성명 및 연락처

9.개인정보보호에 관한 지침·문서 등을 반드시 구비
개인정보보호 관련문서를 명확하게 구비하지 않았다면, 개인정보가 유출되는 경우에 책임이 보다 커질 수 있다.
내부관리계획 작성·구비, 개인정보열람청구서 등 비치, 인터넷 웹사이트의 경우 회원정보열람정정메뉴, 회원탈퇴메뉴를 쉽게 찾을 수 있도록 조치한다.

10.개인정보유출통지, 집단분쟁조정, 단체소송에 대비
개인정보가 유출된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지 차단, 비밀번호변경 공지 등 초동 조치를 신속히 하여야 한다.
또한 유출 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해단체소송을 제기할 수 있으므로 철저히 대비해야 한다.