[안치영의 메디컬와치] 서울대병원 환자 진료정보 유출이 문제인 이유

[이데일리 안치영 기자] 지난 14일 서울대병원에서 1만 6000여명의 환자 진료 정보가 외부로 유출되는 사건이 발생했다. 이메일 오발송이 원인으로 꼽히지만 의료계에서는 “있을 수도 없고 있어서도 안되는 인재”라며 보안 체계 전반의 취약성을 지적하고 있다. 유출 정보에는 산모의 이름, 환자번호, 생년월일, 키·체중 등 기본 정보뿐 아니라 임신·출산 관련 진료 정보가 포함됐다.

서울대병원이 19일 '메일 오발송'으로 환자 1만 6000여명의 진료정보가 유출됐다고 홈페이지를 통해 안내한 공지문.(사진=서울대병원 홈페이지)

의료계는 이번 사건이 기본적인 보안 원칙을 준수하지 않은 사례로 보고 있다. 진료 정보는 허가된 인원만 내부망을 통해 접근해야 하며 외부 전송은 원칙적으로 제한된다. 실제 대형 병원들은 진료 데이터 시스템을 외부망과 분리해 운영하지만 외부 반출이 필요한 경우에는 의료기관내 데이터심의위원회(DRB)의 사전 승인을 거쳐야 한다. DRB는 연구 등 목적으로 데이터를 활용할 때 가명처리 적정성과 제공 여부를 심의하는 기구다.

이러한 절차가 정상적으로 준수됐다면 이번과 같은 유출 사고는 발생하기 어렵다는 것이 현장의 시각이다.

데이터 비식별화 여부도 논란이다. 통상 대규모 환자 데이터는 개인 식별이 불가능하도록 암호화하거나 분리 저장해야 한다. 한 공공기관 관계자는 “환자 정보와 진료 정보를 결합할 수 없도록 개별 또는 전체 단위로 암호화 조치가 이뤄졌는지 확인이 필요하다”고 지적했다.

특히 이번에 유출된 정보가 산모 관련 진료 정보라는 점에서 우려는 더욱 크다. 산모 정보와 정신질환 관련 정보는 의료기관 내에서도 최고 수준의 보안이 요구되는 민감 정보로, 접근 자체가 엄격히 제한된다. 단순 열람만으로도 처벌 대상이 될 수 있는 만큼, 외부 유출은 심각한 문제라는 지적이다.

사후 대응 체계의 한계도 드러났다.

진료 정보는 보건당국 소관이지만 실제 조사와 처분은 개인정보보호위원회가 담당할 예정이다. 보건복지부는 의료법상 직접 개입할 근거가 부족하다는 입장이다.

복지부 관계자는 “의료법 적용 여부를 검토했지만 이번 사안에 직접 개입할 여지는 크지 않았다”고 설명했다. 정부 산하기관 한 관계자는 “진료 정보를 전문적으로 다루는 기관이 존재하는 만큼 보건당국 중심으로 통합 보안 관리 체계를 마련할 필요가 있다”고 말했다.