피해자 신고 없으면 현황 파악조차 못해
"○○성형외과 새해 맞이 특별 할인행사. 피부클리닉 20% 할인, 필러 29만원 균일가"
이현진(34·가명)씨는 얼마 전 처음 들어보는 이름의 성형외과에서 할인정보가 담긴 문자메시지를 받았다. 한번도 간 적이 없는 병원에서 어떻게 자신의 전화번호를 알고 광고문자를 보냈는지 궁금해진 이씨는 해당 병원에 전화해 확인한 결과 황당한 답변을 들었다. 2년 전 다녔던 성형외과 의사 중 한 명이 다른 병원으로 옮기면서 자신이 진료했던 환자의 정보를 새 병원으로 가져갔다는 것이었다. 이씨는 "해당 병원에서는 법적으로 아무런 문제가 없다던데 당사자 동의도 없이 개인정보를, 그것도 민감한 의료정보를 이리저리 가져가는 게 말이 되느냐"며 "그 정보를 가져다 새 병원 홍보에 이용했다는 것도 불쾌하다"고 말했다.
취업면접에서 좋은 인상을 주기 위해 동네 피부과를 몇 차례 다녔던 김명훈(32·가명)씨도 화가 나기는 마찬가지다. 동의한 적도 없는 피부과 광고문자가 계속해서 날아들고 있기 때문이다. 김씨는 "병원에서 전화번호를 적는 것은 진료와 관련된 일이 있을 때 긴급하게 연락하기 위한 것이 아니냐"며 "동의한 적도 없는 광고를 받기가 짜증난다"고 전했다.
카드사 개인정보 유출 사건을 계기로 우리나라의 허술한 개인정보 관리 실태가 사회문제로 부각되는 가운데 병원에서도 환자의 개인정보가 줄줄 새고 있는 것으로 드러났다. 의사가 다른 병원으로 자리를 옮기면서 진료했던 환자들의 기록도 같이 가지고 가는가 하면 동의도 없이 광고문자를 보내 환자들을 괴롭히고 있다. 이렇게 이리저리 유통되는 환자의 개인정보에는 전화번호나 주민번호·주소는 물론이고 민감한 진료기록 등이 포함돼 있어 문제가 더 심각하다.
병원들은 이 같은 의료정보 유출이 별 문제될 것이 없는 관행이라고 얘기하지만 현행 의료법상 환자의 정보는 의사 개인이 마음대로 옮길 수 없다. 환자의 개인정보는 병원 설립자에 귀속된 것이기 때문이다. 만일 병원 설립자가 기존 병원을 폐업한다면 보건소에 진료기록 등 개인정보를 넘기도록 돼 있으며 다른 사업자에게 병원을 포함한 환자 개인정보를 넘길 경우에는 환자 개인에게 일일이 알려야 한다.
개인정보를 적법하게 갖고 있다고 하더라도 홍보나 제품 마케팅을 위해 문자를 보내려면 받는 사람의 사전 동의를 반드시 받아야 한다.
개인정보보호법 15조에 따르면 동의를 받지 않고 홍보할 경우 5,000만원 이하의 과태료에 처할 수 있다.
하지만 현실은 다르다. 의사들이 있던 병원을 나와 개업하거나 다른 병원으로 옮길 때 이전 병원에서 진료해준 환자 정보를 갖고 나와 홍보하는 것이 관행으로 묵인되고 있기 때문이다.
한 의료업계 관계자는 “연고 없는 동네에서 같이 일하던 의사가 개업한다고 하면 초기 정착을 위해 진료하던 환자 정보를 가져가는 것을 눈감아주는 경우가 종종 있다”고 전했다.
의료기관의 허술한 개인정보 관리는 어제오늘의 일이 아니다. 지난해 안전행정부가 전국 25개 병원을 대상으로 개인정보 보호 실태를 점검한 결과 26건의 개인정보 위반 사안이 적발됐다. 이 가운데 12개 기관에 대한 행정처벌 절차가 진행되고 있다. 적발된 항목은 개인정보 위탁업체에 대한 교육을 하지 않거나 개인정보 보호 위탁 계약조건이 미비한 경우 등이다.
병원의 개인정보 관리체계가 워낙 허술하다 보니 개인정보를 빼돌리고 돈을 요구하는 해커들도 등장하고 있다. 지난해 김모(37)씨 등 2명은 중국 해커들과 짜고 강남의 한 유명 성형외과에서 1만9,700여개의 성형 전·후 사진 등 정보를 빼돌려 공개하겠다며 5억원을 달라고 협박하다 경찰에 덜미를 잡혔다. 당시 경찰 관계자는 “피해 성형외과들의 서버는 방화벽을 비롯한 보안장치가 없어 해킹에 거의 무방비로 노출돼 있었다”고 설명했다.
이보다 앞서 인터넷 도박으로 돈을 날린 김모(26)씨 등은 1,657회에 걸쳐 환자와 병원 직원 6만여명의 개인정보가 들어 있는 한 성형외과 서버를 해킹한 후 돈을 주지 않으면 개인정보를 인터넷에 올리겠다고 협박해 2,500만원을 받기도 했다.
환자의 개인정보가 새나가는 것을 적발할 수 있는 방법도 현재로서는 없다. 의료법 주관부처인 보건복지부의 한 관계자는 “피해 신고가 없으면 실질적으로 정보가 새나가는 것을 막을 길이 없다”고 말했다.
개인정보 보호 주관부처인 안행부는 2011년부터 의료기관에 대한 개인정보 점검을 실시해오고 있지만 결과가 알려질 경우 서비스업체인 병원에 피해가 갈 수 있다며 병원 이름은 물론 조사대상 수나 적발 사안이 몇 개나 되는지 등의 내용도 공개하지 않고 있다. 안행부 관계자는 “이중처벌 문제가 있어 개인정보보호위원회의 동의를 받아야만 공개할 수 있다”고 설명했다.
정영철 한국보건사회연구원 정보기술융합센터장은 “의료정보도 금융정보처럼 민감한 정보라는 점에서 강력한 보호정책이 필요하지만 피해현황 파악도 제대로 돼 있지 않은 것이 현실”이라며 “연구목적으로 의료 개인정보 유출 통계를 찾아봤지만 개인정보 유출을 종류별로 구분한 사례는 없었다”고 지적했다. 정 센터장은 “현재 개인정보 보호 주관부처인 안행부에서 한국정보화진흥원과 인터넷진흥원을 통해 교육과 기술적 정보보호를 지원하고 있지만 개인정보를 체계성 없이 다루고 있어 영역별 특성을 담아내지 못하는 한계가 있다”며 “복지부에서도 의료 개인정보 보호의 중요성을 고려해 2010년 개인정보통합관제센터를 운영하고 있지만 인원은 10명으로 규모가 작아 다양한 활동을 펼치기에는 역부족”이라고 말했다.
정 센터장은 “병원 입장에서도 개인정보 보호가 당장 중요한 일이 아니다 보니 투자가 부족하다”며 “규모가 작은 병원들은 더더욱 개인정보 보호에 대한 관심이 적어 정부가 의지를 갖고 감독해야 한다”고 강조했다.