Home > 전체기사

병원 모르게 의료정보 수집했다가 큰 코 다친 4곳

  |  입력 : 2015-07-24 18:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
SK텔레콤, 의료정보 저장문제와 위수탁 체결 문제 지적돼

지누스와 약학정보원, 병원 모르게 불법 수집해 판매

IMS헬스코리아, 국내 의료정보 해외 유출...국외 이전 논란


[보안뉴스 김경애] 의료 분야의 개인정보 불법 수집 및 거래로 의료정보보호에 빨간불이 켜졌다. 현재 요양기관과 병원 환자들의 정보를 불법 수집해 제약사 등에 거래한 혐의로 기소된 곳은 통신사인 SK텔레콤, 요양급여청구 사전심사시스템(e-IRS) 프로그램 개발사 지누스, 전국 1만 800개 약국에서 사용 중인 약국 경영 프로그램 ‘PM2000’을 만들어 무료 배포한 약학재단인 약학정보원, 다국적 의료통계회사인 IMS헬스코리아 4곳이다.


이들은 국민의 88%인 4400만여명의 정보 약 47억건을 불법으로 수집하고 판매해 122억3000만원의 부당이득을 챙긴 혐의를 받고 있다. 이로 인해 약학정보원과 IMS헬스코리아, 대한약사회를 상대로 손해배상 청구소송이 진행되고 있으며, SK텔레콤과 지누스까지 확대되는 움직임까지 보이고 있다.


전자처방전, SK텔레콤 서버 꼭 거쳐야 하나?

먼저 SK텔레콤의 경우 ‘전자처방전’ 프로그램 서비스가 문제가 되고 있다. 해당 프로그램은 병원에서 환자가 진료를 받으면 진료정보와 처방정보 등을 자동으로 약국으로 전달해주는 시스템이다.


문제는 해당 프로그램을 제공하는 SK텔레콤은 전달 역할만 해야 하는데, 의사의 처방전 정보가 SK텔레콤 서버를 거쳐 약국과 건강보험심사평가원으로 자동 입력되고 있었다는 점이다. 즉, 전달과정에서 해당 정보를 병원 모르게 별도로 저장하고 있었다는 얘기다. 따라서 해당 프로그램이 SK텔레콤 서버를 꼭 거쳐야만 하는지, 불법 저장은 아닌지, 그리고 해당 서버에 남아있던 7천8백만 건이 파기됐는지 여부에 주목할 필요가 있다.


이에 대해 SK텔레콤 측은 병원과의 위수탁 계약 체결과 해당 프로그램 설치시 동의 체크를 받았다고 밝혔지만 병원 측은 이를 모르고 있었던 것으로 알려졌다. 더군다나 의료정보의 경우 의료법상 원외 저장을 금지하고 있으며, 해당 병원에게 중요한 개인 의료정보가 저장되는 것에 대해 자세한 설명을 했는지 등의 여부도 쟁점으로 떠오르고 있다.

이에 대해 행정자치부 개인정보보호과 조성환 과장은 별도 저장문제와 검찰에서 위수탁 관계를 인정하고 있지 않다는 점을 지적했다. 조 과장은 “검찰에서 수사한 내용을 바탕으로 본다면, 프로그램 시스템을 만들어 유지보수나 AS 과정에서 별도로 저장한 게 문제로 보인다”며 “개인정보처리자가 수탁사의 접근권한을 허락할 경우 감시체계 하에서 진행되어야 하는데, 수탁사가 접속권한을 갖고 수시로 정보를 유출했다는 게 문제”라고 지적했다.


이어 조 과장은 “해당 업체에서 부득이하게 저장할 수밖에 없었던 건지 좀더 정확히 확인해봐야 겠지만, 만약 프로그램 서비스를 공급해주고 AS 서비스 제공을 위한 계약관계라면 개인정보를 굳이 외부로 가져갈 이유가 없다”며 “특히, 의료법상 중요한 개인 의료정보는 원외 보관을 금지하고 있음에도 불구하고, 외부로 갖고 나왔다는 점에서 문제가 있으며, 최소 수집을 원칙으로 하는 개인정보보호법에도 위반된다. 더욱이 외부에 접속권한을 주고 외부에서 저장하는 것은 명백히 불법”이라고 설명했다.

 ▲ 행정자치부 개인정보보호과 조성환 과장

두 번째 위수탁 관계에 있어서는 개인정보보호법상 보안요구 사항을 계약사항에 명시해야 하는데, 이 부분이 명확하지 않았다는 것도 문제로 지적된다.

이번 사건과 관련해 행자부는 오는 27일부터 긴급실태 점검에 들어갈 예정이다. 점검은 해당 정보를 반드시 저장할 수밖에 없었는지 여부와 사전 동의 등 불법 수집 부분, 수집정보의 파기 부분에 집중될 것으로 알려졌다.


지누스·약학정보원, 병원 모르게 의료정보 수집 및 판매
요양급여 청구 프로그램을 개발·공급한 지누스는 2008년 3월부터 2014년 12월까지 환자정보를 불법 수집·저장한 혐의를 받고 있으며, 약 7,500개 병원으로부터 수집된 정보는 약 7억2,000만건에 달한다. 또한, 지난 2011년 10월부터 2014년 12월까지 약 4억3,019만건의 환자 진료 및 처방정보를 IMS헬스코리아에 공유 방식으로 판매한 것으로 드러났다.


또한, 약학정보원의 경우 지난 2011년 1월부터 2014년 11월까지 가맹 약국에 경영관리 프로그램을 배포한 뒤 약 1만800개 약국으로부터 조제정보 43억3593만 건을 불법 수집해 IMS헬스코리아 사에 16억원을 받고 넘긴 것으로 조사됐다.


특히, 약학정보원은 검찰 압수수색 이후, 행정자치부의 권고대로 일방향 암호화 방식(SHA512)로 개선했지만, 의료정보를 볼 수 있도록 관련정보를 USB를 통해 IMS헬스코리아로 넘긴 사실이 알려졌다.


IMS헬스코리아, 국내 의료정보 해외 유출...국외 이전 논란 

약학정보원과 지누스로부터 의료정보를 제공받은 IMS헬스코리아는 의료통계 전문 글로벌 회사로 알려졌다. 제공자의 동의 하에 수집한 의료정보를 바탕으로 통계를 내고, 이를 바탕으로 각종 건강 및 의학정보를 제공하고 있는데, 해외에서는 이러한 사업이 활성화되어 있다. 특히, IMS헬스코리아의 경우 사용자 동의를 받은 정보를 직원이 가져오면 인센티브가 적용될 정도로 의료정보 수집에 열을 올리고 있다.  

하지만 이번 사건에서 의료정보는 암호화되지 않은 상태로 제공됐고, 개인 식별이 가능해 이에 따른 악용소지와 위험성이 제기되고 있다.  


더욱이 수집한 의료정보를 바탕으로 병원별·지역별·연령별로 특정 약의 사용현황 통계자료를 만들어 특정 약을 판매하는 국내 제약회사에 70억 원을 받고 넘겼으며, 해당 제약회사는 이 정보를 특정 약의 마케팅에 활용한 것으로 드러났다.


현재 검찰에서 국외로 이전된 개인정보에 대해 미국 본사인 IMS헬스 측에 삭제조치를 요청했으며, 본사 측은 해당 개인정보에 대해 확인 중에 있는 것으로 알려졌다.


이와 관련 조 과장은 “개인정보보호법 17조에 따르면 학술목적이나 통계목적일 경우 불법이 아니지만, 개인정보를 넘길 때 익명화 처리 등 개인 식별이 불가능하게 해서 넘겼어야 했는데, 그렇게 하지 않은 게 가장 큰 문제”라고 말했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

안병기 2017.10.11 09:40

47158


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)