내 진료기록이 팔린다… 환자정보 7억건 제약 컨설팅업체에 유출

최근 5년간 전국 병원 수천 곳에서 환자 개인정보와 진료기록 약 7억건이 암호화되지 않은 형태로 다국적기업에 유출된 사실이 확인됐다. 의사들의 컴퓨터에 설치된 요양급여 청구 프로그램을 통해 빼돌려진 정보에는 환자의 이름과 주민등록번호, 연락처는 물론 질병명과 병원 방문 일시, 의약품 처방 내역 등 법률상 ‘민감정보’가 포함됐다. 검찰은 각 병원에 이 요양급여 청구 프로그램을 제공한 업체 대표를 구속하고 유출된 정보를 활용한 다국적기업, 전자차트 업체들로 수사를 확대할 방침이다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 의사들의 컴퓨터에 ‘건강보험심사평가원 요양급여 사전심사 시스템’ 프로그램을 설치해주고 각 병원이 관리한 환자 진료기록 등 개인정보 7억건을 빼돌린 혐의(개인정보보호법 위반)로 G사 대표 김모(47)씨를 구속했다고 15일 밝혔다. 김씨는 심평원 요양급여 비용 청구를 쉽게 하는 프로그램을 병원들에 제공하면서 몰래 ‘모듈’까지 설치, 의사들이 기록하는 온갖 정보가 G사의 서버에 전송되도록 만든 혐의다. 김씨는 이 대규모 정보를 글로벌 제약시장 조사 업체 I사에 수억원을 받고 팔아넘긴 것으로 조사됐다.

개인정보보호법에 따르면 건강에 관한 정보는 ‘민감정보’로 분류돼 정보 주체가 동의하지 않으면 처리할 수 없다. 법령상 개인정보를 취급할 수 없는 사기업인 G사는 환자나 의사 어느 쪽에서도 동의를 받지 않았던 것으로 드러났다. 전자처방전 등 의료용 소프트웨어를 개발하는 업체들이 통상 민감정보를 암호화해 취급·보관하지만 G사는 암호화도 하지 않은 것으로 확인됐다.

I사는 원할 때마다 G사의 서버에서 민감정보를 여과 없이 열람할 수 있었고, 필요하면 파일 형태로 내려받을 수도 있었다. 검찰 관계자는 “의사들의 동의 없이 진료 차트가 그대로 빠져나간 격”이라고 설명했다. I사는 이렇게 모은 전국 환자 정보를 지역별·연령대별·성별 약품 소비 성향을 말해주는 빅데이터로 가공, 제약업체 대상 마케팅에 활용해온 것으로 조사됐다.

검찰 관계자는 “법적 다툼이 이뤄지는 중에도 민감정보 유출이 계속될 것이라는 우려에 구속영장을 청구한 것”이라고 설명했다. 같은 방식으로 병원들에 전자차트 프로그램을 제공한 뒤 모듈을 통해 민감정보를 빼내온 업체들도 검찰 수사선상에 올라 있다. 검찰 관계자는 “민감정보 유출을 막으려면 많은 병원이 전자차트 진료 방식 대신 종이를 사용해야 할 상황”이라고 말했다.

이경원 기자 neosarim@kmib.co.kr