개인 의료정보 내부 열람 무방비… 서울대병원 충격

지난 2015년 이탈리아의 정보거래업체 ‘해킹팀’의 내부 정보가 유출되면서 대중의 이른바 ‘감시의 시대’에 대한 두려움은 극에 달했다. 상대적으로 특정전문기관에 위임한 개인정보, 가령 금융·의료 등에 대한 보안은 해커 및 해킹프로그램 등 외부의 침입을 막는 것에만 중점을 둔 측면이 없지 않았다. 내부자가 개입한 ‘은밀한’ 정보 유출에는 상대적으로 안심하거나 소홀했다는 이야기다. 여기에는 개인의 의료기록과 같은 민감한 정보의 경우 의료법 23조에 의거, 안전하게 ‘봉인’되어 있으리란 의료소비자들의 ‘믿음’도 한몫했다.

故 백남기 농민의 전자의무기록 무단 열람 사례는, 그러나 이러한 믿음이 얼마나 허망한 것인지를 여실히 보여준다. 감사원이 2015년 11월 14일부터 2016년 12월 30일 사이에 서울대병원 종합의료정보시스템의 EMR과 PACS를 통해 백 농민의 의무기록 로그를 분석한 결과는 충격적이다. 서울대병원 소속 직원 734명이 4만601회에 걸쳐 무단 열람했다.

현재 서울대학교병원 종합의료정보시스템(Electronic Medical Record & Hospital Information System)과 의료영상저장전송시스템(PACS: Picture Archiving Communication System)을 운영하고 있다. 종합의료정보시스템의 EMR(Electronic Medical Record)에는 외래·입원·수술·마취·간호·임상관찰·응급 기록과 의사지시 등이 포함된다. PACS에는 CT·MRI·엑스레이·내시경·초음파 등의 영상자료가 포함되어 있다.

서울대병원 자체적으로 열람 사유를 정해두었고, 그에 앞서 의료법 제23조 제3항 및 제87조 제1항의 규정에 따라 정당한 사유 없이 전자의무기록에 저장된 개인정보를 탐지하거나 누출할 경우에는 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해진다. 이렇듯 명백히 환자의 의료기록 보호를 위한 법 및 내부규정이 있음에도 왜 무단열람 사태가 일어난 걸까?

감사원에 따르면 무단 열람 사유는 호기심(157명), 교수의 열람 지시(3명), 담당의사에게 치료부탁 목적의 사전 열람(1명) 등이다. 이를 통해 유추할 수 있는 점은 의료정보에 대한 의료진의 느슨한 인식이다. 이와 관련해 병원 관계자는 “백남기 농민 이후로 시스템 접근 권한 보안을 강화했다”며 “현재 의료법을 어겨가며 호기심 및 다른 의도로 환자의 의무기록을 본다는 것은 ‘바보 같은 짓’이다”라고 밝혔다. 취재 결과도 관계자의 말과 다르지 않았다. 다만 ‘구멍’이 있었다. ‘직원이 직원을 열람하는’ 경우다. 다음의 사례는 환자 정보가 어떻게 악용될 수 있는지를 보여준다.

“환자의 의무기록이 약점을 잡는 방식으로 악용하는 경우도 있다. 서울대병원 소속 직원이 병원에서 치료를 받는다 치자. 이 경우 진료와 전혀 관계없는 이들이 열람, 뒷말을 퍼뜨리기도 한다. 가령 정신과 진료기록 등을 무단 열람한다고 생각해보라. 해당 직원에게는 치명적일 수 있다. 문제는 이런 일들이 서울대병원에서 버젓이 벌어졌고 벌어지고 있다는 것이다.”

취재 결과 확보한 이 같은 증언은 병원 직원의 의료기록이 해고 및 인사고과 등에 악용될 가능성을 보여준다. 이에 대해 병원 측은 “상상하기 어려운 일”이라고 펄쩍 뛰었다. 병원 홍보팀 관계자는 “누가 의도적으로 병원 직원의 진료 기록을 보고 약점을 잡겠는가”라고 말하면서도 “의사가 병원 직원의 의료기록을 들여다보는 것까지 시스템으로 막는 것은 불가능하다”고 현실적 한계를 인정했다.

김양균 기자 angel@kukinews.com