개인정보보호, 소프트웨어 정책
정보보안 사각지대 ‘병원’…제2의 대형 개인정보유출 사태 발생할 수도
개인정보뿐 아니라 진료기록 등 민감한 개인정보를 다루는 의료업계에 정보보호관리가 허술한 것으로 드러났다. 의료업계는 정보보안기술 측면에서 최약체로 평가되고 있어 제 2의 대형 개인정보 유출 사태가 발생할 가능성이 높다는 우려가 제기되고 있다.
정보화사회실천연합(정실련)에 따르면, 전국 52개 종합병원 중 31%인 16개 종합병원의 홈페이지가 아이디 및 비밀번호 찾기를 할 때 주민등록번호와 비밀번호 정보를 암호화하지 않은 것으로 나타났다. 특히 이들 병원은 지난 2013년 조사 때도 지적된 바 있는데, 1년이 넘도록 방치되고 있다.
정실련이 실시한 이번 조사는 외부에서 개인정보보호의 척도를 확인할 수 있는 방법인 ‘개인정보의 보호조치’ 사항 중 전송구간 암호화(보안서버구축, SSL)에 대해 비밀번호 및 주민등록번호의 암호화 준수 여부에 대한 조사 결과다.
손영준 정실련 대표는 “개인정보보호의 가장 기본인 전송보안암호화가 이뤄지지 않은 것으로 미뤄볼 때, DB암호화나 시큐어코딩 등 보다 기술을 요하는 보안관리는 이뤄지지 않았을 것”이라며 “병원은 일반 사이트와 달리 개인정보뿐만 아니라 진료예약 정보 등의 민감한 개인의 정보까지 노출될 위험성이 높은 관계로 개인정보보호에 대해 철저한 관리가 필요하다”고 말했다.
전송보안암호화 미조치는 이미 KT 개인정보 유출사태에서 그 위험성이 확인된 바 있다. 지난 3월 발생했던 KT 개인정보 유출 사태의 경우, 웹사이트 구축 시 전송구간이 암호화되지 않아 파로스라는 초보적인 해킹 프로그램에 의해서 간단하게 해킹됐다. 그 결과 KT는 1200만명의 가입자 정보가 유출됐다.
그 동안 보안기술면에서 의료분야는 최약체로 평가되고 있다. 따라서 해커들이 마음만 먹으면 언제든 뚫릴 수 있는 곳이 의료업계라는 것이 전문가들의 지적이다.
실제 지난 4월에는 국내 대형 병원의 임상실험센터 웹사이트가 해킹돼 악성코드 유포지로 악용된 바 있다. 또 지난 연말에는 성형외과 병원들의 서버가 해킹을 당해 진료기록 8만여건이 유출된 바 있다. 당시 병원들은 병원 서버 내부망이 인터넷 외부망과 연결되어 있고, 방화벽 같은 보안시스템도 없었다.
업계 한 관계자는 “여전히 병원들은 웹사이트 보안과 개인정보보호에 취약한 것이 사실이고 정보보호 조직을 두고 있는 국내 병원은 적은 것이 현실”이라고 지적했다.
이에 대해 정영철 한국보건사회연구원 정보기술융합센터 센터장은 “하지만 최근 대형병원을 중심으로 개인정보보호에 대한 중요성 인식이 높아지고 있는 상황”이라며, “의원급 병원들 역시 개인정보보호에 대한 중요성은 인식하고 있지만, 기술적, 관리적 측면에서 어려움이 있는게 사실”이라고 말했다. 그는 이어 “충분히 개인정보의 중요성을 인지하고 있는 만큼 규모별 대상자별 교육을 통해 개선해 나가야 할 것”이라고 설명했다.
유진상 기자 jinsang@it.co.kr
기사보기 : 정보보안 사각지대 ‘병원’…제2의 대형 개인정보유출 사태 발생할 수도 2014.05.02 17:15:46