환자 의료정보가 노출되는 것은 어제 오늘 일이 아니다. 하지만 최근 수법은 더욱 놀랍다. 조직적이고 체계적이다. 병원 내부 관계자가 외부 인사와 짜고 민감 정보를 거래했다. 이렇다 보니 정보보안 업계에서 제도 개선 목소리를 높이고 있다. 일각에서는 시스템을 통한 불공정 행위 개선 필요성까지 제기된다.
실제 문제는 심각하다. 최근 개인정보보호위원회는 개인정보보호 법규를 위반한 17개 종합병원 중 16개 병원에 적게는 300만원에서 많게는 2000만원대 벌금과 개선 권고를 의결했다.
일부 대형병원 환자 개인 정보망이 제약사와 내부 직원에 고스란히 노출됐다. 이들은 수시로 관련 정보를 유출하고, 다운로드하는 등 민감정보를 빼내갔다.
병원 직원이 환자 1만6463명 개인정보를 제약회사 직원에게 이메일과 USB를 이용해 넘겼다. 또 다른 병원 직원은 5만7912명 환자 정보를 이메일로 송부했다.
업계는 이번 사건을 교훈삼아 병원이 최적화한 사이버 보안 대책을 마련하고, 적극 대응해야 한다고 강조한다. 병원 PC의 망분리 등 보안시스템화가 필요하다는 지적이 나온다. 중소형 병원은 해킹 공격에 취약하다. 중소병원 300곳 중 네트워크 보안설비를 갖춘 곳은 17.3%에 그쳤다는 조사결과도 있다. 10곳 중 2곳은 PC 백신 SW만 도입했다.
정부 차원에서 대형 및 중소병원 보안 취약점 점검과 사이버 보안 시스템 구축 의무화를 검토해야 한다. 전문가들은 망분리와 보안 시스템 구축을 권고한다. 의료기관을 개인정보보호법 관련 법령 적용 대상으로 바꿔야 한다는 지적도 있다.
의료정보는 이메일 주소, 휴대폰 번호와 같이 민감정보로 분류된다. 다시 한 번 전체적인 의료정보 보호 시스템 점검이 필요하다.